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Editorial 


Ein Jahr DSGVO - Entwicklungen, Erfahrungen, Baustellen 


Nach einem Jahr DSGVO wollten wir uns eigentlich nur über die Erfahrungen mit der 
DSGVO unterhalten und vielleicht noch die damit einhergehenden Kuriositäten be- 
leuchten. 


Aber leider wird - unabhängig davon, wie oft der deutsche Gesetzgeber in der Vergan- 
genheit auf dem Weg zur DSGVO schon das Datenschutzrecht geschwächt hat - schon 
wieder versucht den Datenschutz in Deutschland drastisch zu beschneiden. 


Dieses Mal unter dem Mäntelchen des Bürokratieabbaus, bei dem passend gleich die 
Rolle der Datenschutzbeauftragten mit abgebaut werden soll. 


Deswegen wird in diesem Heft die Bürokratielüge entlarvt, berichtet eine Daten- 
schutzberaterin aus dem Nähkästchen, bekommen Sie den zweiten Teil der Serie über 
Kuriositäten in der (Datenschutz-)Gesetzgebung vorgelegt, wird die Entwicklung und 
die Bedeutung der Datenschutzbeauftragten in Deutschland und Europa dargestellt 
und geben wir Ihnen einen kurzen Überblick über mehrere Fazits und Resümees und 
Gutachten zu einem Jahr DSGVO. 


Außerdem stellen wir unsere Beteiligung an Kampagnen und offenen Briefen dar und 
drucken unsere Pressemitteilungen des letzten Quartals ab. 


Die Nachrichten aus dem In- und Ausland sowie zu Technikthemen, Aktuelles aus der 
Rechtsprechung und Buchbesprechungen runden das Heft in gewohnter Weise ab. 


Wir wünschen Ihnen eine spannende Lektüre in diesen frühsommerlichen Tagen! 


Frank Spaeing 


Autorinnen und Autoren dieser Ausgabe: 
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Thomas Spaeing 


Die Bürokratielüge - wie die Reduzierung der 
Benennungspflicht die Bürokratie erhöht 


Bürokratieabbau ist das große Ziel 
und Datenschutz soll das kleine Opfer 
sein. Die Bürokratisierungsexperten 
aus CDU/CSU und der FDP wollen die 
Bürokratie bei den kleinen und mitt- 
leren Unternehmen abbauen. Dazu 
sollen aber nicht etwa beispielsweise 
das überbordende Baurecht oder das 
im weltweiten Vergleich ausufernde 
Steuerrecht verschlankt werden, son- 
dern beim Datenschutz soll abgebaut 
werden. 


Die unglückliche und kaum medial 
vorbereitete Einführung der DSGVO hat 
zu einem erheblichen Chaos insbeson- 
derein der mittelständischen Wirtschaft 
und im Vereinswesen geführt. Die nega- 
tive Presseberichterstattung hat dazu 
ebenfalls beigetragen. Viele Unterneh- 
mer oder Vereinsvorstände fühlten sich 
erheblich verunsichert und zu Unrecht 
bedroht - von Bußgeldern und Ab- 
mahnungen gleichermaßen. Dass dies 
vollkommen übertrieben war, hat sich 
inzwischen gezeigt. Das durchschnittli- 
che Bußgeld in Deutschland liegt bisher 
sogar unter den Werten der Zeit des al- 
ten Datenschutzrechts und Abmahnun- 
gen sind ebenfalls kaum bekannt. 


Für Wahlversprechen werden Bürger- 
rechte geschwächt 


Trotzdem sind Teile der Bundesregie- 
rung in das Wehklagen eingestiegen und 
haben offenbar Zusagen gemacht, die 
leider nicht so einfach einzuhalten sind. 
Die DSGVO ist EU-Recht und das kann na- 
türlich Deutschland allein nicht ändern. 
Aus diesem Grund hat man sich den Teil 
ausgesucht, den man in Deutschland 
ändern kann: Die Öffnungsklauseln zum 
Datenschutzbeauftragten. 

Der Datenschutzbeauftragte wurde 
1977 als Instrument der betrieblichen 
und behördlichen Selbstkontrolle ein- 
geführt, um neben den Datenschutz- 
aufsichtsbehörden die Einhaltung des 
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Datenschutzrechts zu gewährleisten. 
Das hat, soweit die Unternehmen dies 
so umgesetzt haben, gut funktioniert. 
Deutsche Unternehmen sind hier längst 
weltweit führend. 

Nach Erkenntnissen des Berufsverbands 
der Datenschutzbeauftragten Deutsch- 
lands (BvD) e.V.! wurde das alte Daten- 
schutzrecht von etwa 40 % der Unterneh- 
men umgesetzt und auch gewissenhaft in 
die DSGVO überführt?. Eine Reihe weiterer 
Unternehmen hat dies mehr schlecht als 
recht getan und ein ebenfalls beachtli- 
cher Teil von über 30 % der Unternehmen 
hat nichts getan. Diese Unternehmen 
haben bis heute nichts getan und dabei 
sicherlich einiges gespart. Gleichfalls ha- 
ben diese Unternehmen aber auch gegen 
geltendes Recht verstoßen. Da aber das 
Risiko und die Bußgelder überschaubar 
waren, hat dies nur wenig Aufsehen ver- 
ursacht. Nun, da die Bußgelder höher aus- 
fallen könnten und Ungemach auch von 
anderer Seite drohen könnte (Schadens- 
ersatzforderungen, Abmahnungen, ...), 
möchten diese Unternehmen durch die 
Politik geschützt werden - und die ist in 
Gestalt einiger CDU/CSU- und FDP- Poli- 
tiker auch sofort zur Stelle. Nicht um die 
Bürger zu schützen oder dem Recht Gel- 
tung zu verschaffen, sondern um denjeni- 
gen Unternehmen, die sich an das bereits 
seit 1977 geltende Datenschutzrecht nicht 
gehalten haben, auch für die Zukunft ei- 
nen Freibrief auszustellen. Vergleichbares 
istim Bau- oder Steuerrecht undenkbar. 

Wie mag sich da der Unternehmer 
fühlen, der sich selbstverständlich an 
dieses Recht gehalten hat? Auch beiden 
Bürgern findet diese Vorgehensweise 
sicher wenig Verständnis und ist genau 
die Art von Politik, die zu einer zuneh- 
menden Entfremdung führt. 


Was ich nicht weiß, macht mich nicht 
heiß 


Unwissenheit schützt vor Strafe nicht. 
Dies einmal vorausgesetzt, kann das 


heimliche Hauptargument zahlreicher 
Akteure gleich entkräftet werden: Der 
Datenschutzbeauftragte zeigt auf, was 
alles im Unternehmen beim Datenschutz 
schiefläuft, das macht den Unternehmer 
bzw. die Leitung des Verantwortlichen 
dann im juristischen Sinne „bösgläubig” 
- er wusste um den Verstoß und hat ihn 
doch nicht abgestellt. Natürlich macht 
sich das im Bußgeldverfahren oder auch 
bei einer Straftat nicht gut. 

Wenn man nun diesen „Überbringer 
der schlechten Nachricht” (den Daten- 
schutzbeauftragten) entfernt, dann 
wäre doch alles viel besser. Tja, wäre 
da nicht der Satz aus der Überschrift. 
Unwissenheit schützt vor Strafe nicht. 
Auch ohne einen Datenschutzbeauf- 
tragten und ggf. ohne zu wissen, dass 
man gegen ein Gesetz verstoßen hat, 
kann man dafür bestraft werden. Die DS- 
GVO legt eindeutig fest, wer für das The- 
ma verantwortlich ist: Der Verantwort- 
liche, bzw. dessen Leitung. Dieses „Ich 
will es gar nicht wissen...“-Argument 
ist also falsch und zeigt die eigenartige 
Denkweise mancher Akteure. 


Bürokratie wird mehr, wenn es 
keinen Sachverstand gibt 


Nun aber zum Kernpunkt: Wird Büro- 
kratie abgebaut, wenn Datenschutzbe- 
auftragte nicht benannt werden müs- 
sen? Nein, welche auch? Die DSGVO, das 
BDSG sowie sämtliche anderen Daten- 
schutzvorschriften sind vollumfänglich 
zu erfüllen. Dies gilt - auch ohne Daten- 
schutzbeauftragte - weiterhin für alle 
Unternehmen und Vereine, seien diese 
auch noch so klein. Allerdings würden 
mit den Datenschutzbeauftragten dieje- 
nigen entfernt, die helfen könnten, die- 
ses Recht risikobasiert und angemessen 
umzusetzen. Statt dessen werkeln dann 
fachfremde Personen an Einwilligungs- 
erklärungen und Verträgen, schreiben 
Dokumentationen und schulen mehr 
schlecht als Recht Mitarbeiter. 
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Dies alles ist bereits passiert und ohne 
die Datenschutzbeauftragten werden 
wir davon noch viel mehr erleben: Fal- 
sche und unnötige Einwilligungserklä- 
rungen, unsinnige Unterschriften zu 
allen möglichen Zwecken, untaugliche 
Verträge und überbordende Dokumen- 
tationen gab es seit dem 25.05.2018 
schon zuhauf, weil es nicht genug qua- 
lifizierte Datenschutzbeauftragte gab, 
um den Beratungsbedarf zu decken. 

Eines der bewährtesten Mittel, um 
Bürokratie im Datenschutz zu vermei- 
den, sind qualifizierte Datenschutzbe- 
auftragte. Die Schwächung der Benen- 
nungspflicht ändert an der Bürokratie 
in den Unternehmen nur insoweit et- 
was, als dass diese zunehmen wird. Auf 
jeden Fall steigen die Risiken für die 
Verantwortlichen gegen die Regelungen 
zum Datenschutzrecht zu verstoßen. 

Ganz nebenbei: Wenn keine Daten- 
schutzbeauftragten benannt werden, 
sind die Geschäftsführungen selbst für 
deren Aufgaben verantwortlich. Der- 
gleichen wird auch immer wieder ins 
Feld geführt: „Das mache ich als Ge- 
schäftsführer selbst.” - Wenn dafür Zeit 
ist und die Expertise vorliegt, kann 
das ein gangbarer Weg sein. Die Praxis 
zeigt aber, dass dies ein Irrtum ist, ein 
Geschäftsführer oder Vorstand hat für 
diese Themen weder Zeit noch die not- 
wendigen Kenntnisse. Und ganz unab- 
hängig davon giltesjanoch das Problem 
des Interessenkonflikts? zu umgehen. 


Wie sehen das Kunden und 
Mitarbeiter? 


Gleichzeitig steht es um die Betrof- 
fenenrechte in diesen Unternehmen 
schlecht. Mit welcher Begründung 
werden die Rechte von Beschäftigten 
in diesen Unternehmen bewusst ge- 
schwächt? Sind sie Mitarbeiter zweiter 
Klasse? Und die Kunden, wie steht es 
um diese? Sollen die besser gleich zum 
größeren Wettbewerb gehen, weil für 
den die strengeren Regelungen gelten 
und man dort sicher sein kann, dass die 
Daten besser geschützt werden? 

Wir merken schon, das bekommt ei- 
nen ganz seltsamen Drive. Natürlich 
wollen wir gerade das nicht. Auch in 
kleinen Unternehmen sollen die Mit- 
arbeiter nicht unkontrollierten Über- 
wachungsmaßnahmen ausgesetzt sein 
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und auch Kundendaten sollen dort gut 
geschützt werden. Wir erinnern uns: 
WhatsApp hatte zum Zeitpunkt des Ver- 
kaufs an Facebook gerade mal 50 Mitar- 
beiter aber etwa 800 Millionen Kunden. 
Sollte Datenschutz hier eine Rolle spie- 
len? Keine Frage! 

Es wird zwar immer wieder behauptet, 
dass Kunden für coole kostenlose Ser- 
vices und Apps gerne mit ihren Daten 
bezahlen, aber das stimmt nur dann, 
wenn der Datenschutz passt. Kunden 
geben immer wieder an, dass sie voraus- 
setzen, dass Anbieter sich an die Regeln 
halten - und genau dass willja auch die 
DSGVO. Datenschutzbeauftragte tragen 
zur Vertrauensbildung bei - dies kommt 
dem Image des Unternehmens und sei- 
nen Produkten und Dienstleistungen 
entgegen. Hinzu kommt, dass Kunden 
die Datenverarbeitungsmechanismen 
hinter den kostenlosen Services meist 
gar nicht verstehen. Wenn man sie dann 
aufklärt, ändern viele Nutzer ihr Verhal- 
ten und wechseln bspw. zu datenschutz- 
freundlicheren Varianten wie Threema 
statt weiter WhatsApp zu nutzen. 

Selbst Schüler, die der BvD im Rah- 
men seiner Initiative „Datenschutz geht 
zur Schule” im Bereich Medienkompe- 
tenz sensibilisiert, ändern nach Erhe- 
bungen an den Schulen normalerweise 
ihr Verhalten bei der Mediennutzung 
nachhaltig. Es mangelt also nicht am 
Wollen, sondern am Können bzw. Wis- 
sen. Medienkompetenz wird in Deutsch- 
land an den Schulen, im Studium und 
auch in der Berufsausbildung wenig 
bis gar nicht vermittelt. Ein wichtiges 
Tätigkeitsfeld für die Bildungspolitiker 
der Bundesländer und auch die Bun- 
desregierung. Hier spielt Deutschland 
leider in der dritten Liga! 


Chancen durch Datenschutz nutzen! 


Von dieser Seite betrachtet, wird 
schnell deutlich, dass die Schwächung 
der Benennung eines Datenschutzbe- 
auftragten auch eine Schwächung der 
Unternehmen ist. Die Unternehmens- 
prozesse zu durchleuchten, um zu 
ermitteln wie und warum personen- 
bezogene Daten von Kunden und Be- 
schäftigten verarbeitet werden, führt 
regelmäßig zu einer Reihe wichtiger 
Erkenntnisse, die helfen die Datenver- 
arbeitung schlanker, sicherer und oft 


transparenter zu machen. Regelmäßig 
werden Prozesse deutlich sicherer, denn 
in fast jedem Unternehmen haben sich 
unnötige Prozesse, Verarbeitungen oder 
Berechtigungen eingeschlichen. Die 
deckt ein erfahrener Datenschutzbe- 
auftragter auf und hilft somit Komple- 
xität zu reduzieren, Kosten zu senken 
und besser zu werden. Klassische Ziele 
eines Re-Engineering-Prozesses - ganz 
nebenbei. 

Noch besser: Die Erkenntnisse und 
die Sicherheitsmaßnahmen aus diesem 
Prozess kommen allen anderen Daten- 
verarbeitungen auch zugute. Verschlüs- 
selungsmaßnahmen schützen auch 
Geschäftsgeheimnisse und geschulte 
Mitarbeiter gehen Hackern und Angrei- 
fern nicht so schnell auf den Leim. Hier 
haben Unternehmen und Behörden in 
Deutschland bereits genug schlechte 
Erfahrungen gesammelt - und die Poli- 
tik auch‘. Es werden also ganz konkret 
Maßnahmen ergriffen, die die Wettbe- 
werbsfähigkeit eines Unternehmens 
stärken und seine Produkte sicherer 
machen können. 

Wollen wir in diesem Marktumfeld 
kleine oder neue Unternehmen stär- 
ken, so helfen wir ihnen von Anfang an 
compliant zu arbeiten und sichere Lö- 
sungen und Dienstleister einzusetzen. 
Weitsichtig wären hier entsprechende 
Informations- und Förderprogramme 
für Start-Ups und KMU. Das stärkt die 
Wirtschaft nachhaltig und hilft den Un- 
ternehmen die Anforderungen größerer 
(ggf. auch internationaler) Kunden zu 
bestehen. Denn die Kunden und Auf- 
sichtsbehörden anderer Länder haben 
wenig Verständnis dafür, dass hier in 
Deutschland mit zweierlei Maß gemes- 
sen werden soll. Wenn erst ein Auftrag 
verloren ging, weil es am Datenschutz 
gefehlt hat, dann ist es zu spät. 

Nicht ohne Grund arbeitet beispiels- 
weise die Automobilindustrie bereits 
an eigenen Datenschutz-Vorgaben und 
-Zertifizierungen von Lieferanten, um 
deren Zulieferung abzusichern. Ein 
Zulieferer, der mit Datenschutz- oder 
Datensicherheitsproblemen kämpft, ist 
für seine Kunden ein Risiko. Nicht nur, 
dass bspw. Daten verloren gehen kön- 
nen, die Lieferprozesse und damit die 
eng getaktete Produktionskette werden 
beeinträchtig oder kommen gar zum 
Stillstand. 


61 


Hier setzen künftig genau dieselben 
Mechanismen ein, wie sie aus dem Qua- 
litätsmanagement bekannt sind. Auch 
in anderen Branchen sind Datenschutz- 
audits bei Zulieferern und Dienstleis- 
tern längst Standard. Wer nicht mithal- 
ten kann, bekommt den Auftrag nicht. 
Erschreckend oft sind dies junge Start- 
Ups, die ihre tollen Ideen im rechtsfrei- 
en Raum gedacht und entwickelt haben. 
Wenn dann die Compliance-Anforderun- 
gen der Kunden kommen, reagieren sie 
mit Unverständnis. Das ist ein Versagen 
der Wirtschaftspolitik. Wir müssen diese 
Unternehmen besser auf die Anforde- 
rungen vorbereiten anstatt sie in einen 
luftleeren rechtsfreien Raum zu stellen. 
Wir befreien Start-Ups auch nicht von 
den Anforderungen des Bau- oder Steu- 
errechts - um im Bild zu bleiben. 


Datenschutz managen 


Das bringt uns zu einem Aspekt, der 
mit der DSGVO so neu auf den Plan ge- 
treten ist: Datenschutz managen. Von 
einem Datenschutzmanagement wur- 
de auch früher schon viel gesprochen. 
Aber erst die DSGVO mit den Regelungen 
zur Rechenschaftspflicht aber auch zur 
Zertifizierung bereitet den Boden für 
ein Datenschutzmanagementsystem. 
Hier liegt auch für die Unternehmen ein 
gewaltiges Potential. Genau wie beim 
Qualitätsmanagement skaliert ein Un- 
ternehmen sein Datenschutzmanage- 
ment und dessen Komplexität passend 
zu seinen Prozessen und Datenverarbei- 
tungen. Hier ermöglicht die am Risiko 
orientierte DSGVO den Unternehmen 
genau die Komplexität abzubilden, die 
erforderlich ist, und eben nicht mehr. 

Sicher, die eine oder andere Doku- 
mentations- und Transparenzpflicht 
mutetim Mittelstand unnötig und büro- 
kratisch an. Aber genau hier hilft wiede- 
rum der qualifizierte Datenschutzbeauf- 
tragte, um den Aufwand im Rahmen zu 
halten und nur die tatsächlich notwen- 
digen Pflichten angemessen zu erfüllen. 

Ein solcher Datenschutzbeauftragter 
unterstützt das Unternehmen auch da- 
bei, ein Datenschutzmanagement auf- 
zubauen. Das klingt nach viel Aufwand, 
ist aber vor allem für QM-erfahrene 
Unternehmen meist schnell erledigt. 
Zunächst werden die erforderlichen Da- 
tenschutz- und Verarbeitungsprozesse 
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beschrieben, dann wird festgelegt, wer 
innerhalb der Prozesse für welche Tätig- 
keiten zuständig ist und daraus ergeben 
sich letztlich die notwendigen Arbeits- 
anweisungen, die den Mitarbeitern ver- 
mittelt und zugänglich gemacht werden 
müssen. Nach den Schulungen werden 
regelmäßige Audits durch den Daten- 
schutzbeauftragten oder entsprechend 
geschulte Mitarbeiter durchgeführt. Die 
Ergebnisse aus den Audits werden der 
Leitung (Geschäftsführung/Vorstand) 
berichtet und diese legt die notwendi- 
gen Abstellmaßnahmen fest und durch 
wen diese zu erfolgen haben. 

Das war’s schon fast, der PDCA-Zyklus 
(Plan, Do, Check, Act), wie er im Qua- 
litätsbereich hinreichend bekannt ist, 
übertragen auf den Datenschutz. Die 
so geschaffene Organisation beherrscht 
das Thema und ist jederzeit in der Lage 
einer Aufsichtsbehörde oder einem 
Kunden nachzuweisen, dass der Daten- 
schutz funktioniert. 

Noch viel einfacher - weil wieder am 
Risiko orientiert - lässt sich der Daten- 
schutz in Handwerksbetrieben und im 
kleinen Handel realisieren. Hier sind 
eben Erfahrung und Augenmaß gefor- 
dert und nicht rechtstheoretische Ab- 
handlungen, wie sie in mancher Rechts- 
beratung immer wieder entstehen. 


Wie findet man einen qualifizierten 
Datenschutzbeauftragten? 


Natürlich müssen wir an dieser Stelle 
noch über den Datenschutzbeauftrag- 
ten sprechen. Wenn hier von einem qua- 
lifizierten Datenschutzbeauftragten die 
Rede ist, dann ist das nicht der selbst- 
ernannte Experte, der stets nur die hal- 
be Buchseite weiter ist als sein Kunde. 
Ein Tageslehrgang macht noch keinen 
Datenschutzbeauftragten und ein Wo- 
chenlehrgang noch keinen Berater. 

Ein qualifizierter Datenschutzbeauf- 
tragter ist solide vorgebildet in den Be- 
reichen Informationstechnik, Betriebs- 
wirtschaft und Unternehmensorganisa- 
tion und im Bereich Datenschutzrecht. 
Datenschutzbeauftragte sind oft Quer- 
einsteiger aus einem dieser Bereiche 
und haben sich die anderen Fähigkeiten 
angeeignet. Interne Datenschutzbeauf- 
tragte können durchaus weniger umfas- 
send qualifiziert starten, wenn sie dafür 
das Unternehmen gut kennen, denn 


auch dieses Wissen ist für die Tätigkeit 
sehr relevant. 

Hingegen müssen externe Daten- 
schutzbeauftragte, da sie ja das Unter- 
nehmen nicht kennen, mehr Erfahrun- 
gen und von Anfang an eine hohe Qua- 
lifikation in allen genannten Bereichen 
haben und insbesondere die erforderli- 
che Beratungskompetenz mitbringen. 

Das Problem der Unternehmen ist es 
die passende Lösung für sich zu ermit- 
teln und dabei nicht den zahlreichen 
Blendern auf den Leim zu gehen, die 
der DSGVO-Boom leider auch hervor- 
gebracht hat. Der BvD entwickelt dazu 
momentan ein Beratungsangebot für 
Unternehmen und Behörden, das hel- 
fen soll die jeweils richtige Lösung zu 
finden. 

Um bei der Beratung die Spreu von 
dem Weizen zu trennen, müssen Aus- 
bildung und Berufsausübung standar- 
disiert werden. Mit dem Beruflichen 
Leitbild des Datenschutzbeauftragten?’ 
hat der BvD hier bereits vorgelegt. Der 
nächste sinnvolle Schritt ist eine Be- 
rufszertifizierung durch eine neutrale 
Stelle. Also nicht durch den Ausbilder, 
sondern wie bspw. in Frankreich durch 
die CNIL - also die zuständige Auf- 
sichtsbehörde. Allerdings wird in Frank- 
reich die Berufsausübung noch nicht 
in die Zertifizierung einbezogen, d.h. 
das Zertifikat trifft noch keine Aussage 
darüber, ob der geprüfte Datenschutz- 
beauftragte die Kenntnisse auch in die 
Tat umsetzt. Diesen Anspruch hat das 
Berufsbild und so sollte auch der Stan- 
dard für eine Zertifizierung in Deutsch- 
land aussehen. Dies gibt den Unterneh- 
men die notwendige Sicherheit bei der 
Auswahl des richtigen Mitarbeiters oder 
Beraters. Hier ergibt sich ein weiteres 
sinnvolles und dringendes Handlungs- 
feld für die Politik. 


Fazit 


Wenn es eigenen Zwecken dient, dann 
ist der Datenschutz stets eine hochwill- 
kommene Rüstung gegen die Presse oder 
wissbegierige Bürger. Wenn es ein biss- 
chen Gegenwind gibt, dann wird schnell 
über die unnötige Bürokratie gejam- 
mert. Diese Bürokratie gibt es natürlich 
wie in vielen Gesetzen so auch im Da- 
tenschutzrecht. Die Datenschutzbeauf- 
tragten gehören allerdings ganz sicher 
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nicht dazu. Wie Steuerberater in ihrem 
Bereich helfen sie mit ihrem Know-how 
Bürokratie zu vermeiden und die Anfor- 
derungen zum Datenschutz so effizient 
wie möglich umzusetzen. Wenn die Po- 
litik handeln möchte, so haben wir nun 
einige wichtige Bereiche gesehen, die 
schon lange auf Handlungsfähigkeit 
warten. Die Heilsversprechen zum Bü- 
rokratieabbau durch die Anpassung der 
Benennungspflicht wären ein „Danaer- 
geschenk“ - das niemand wirklich will. 
Der BvD hat im Übrigen pragmatische 
Vorschläge zur schnellen Entlastung 


Susanne Holzgraefe 


von Unternehmen und Vereinen vorge- 
legt (siehe www.bvdnet.de, Stichwort 
Positionspapiere). 


1 Der Berufsverband der Datenschutzbe- 
auftragten Deutschlands (BvD) e.V. för- 
dert und vertritt die Interessen der Da- 
tenschutzbeauftragten in Betrieben und 
Behörden. Der Verband unterstützt seine 
Mitglieder bei der täglichen Berufsaus- 
übung und entwickelt die Standards für 
die Berufsausübung weiter. 


2 https://www.bvdnet.de/ds-gvo- 
wichtige-handlungsfelder-fuer- 
unternehmen/ 


3 https://www.datenschutz-wiki.de/ 
DSGVO:Art_38, dort Absatz 6, 2. Satz, 
siehe außerdem: https://www.baden- 
wuerttemberg.datenschutz.de/ 
wp-content/uploads/2013/03/ 
Beschluss-des-D%C3%BCsseldorfer- 
Kreises-2010-Mindestanforderungen_ 
an_DSB_nach_4f_II_und_III_BDSG.pdf 


4 https://www.zeit.de/politik/ 
deutschland/2019-01/hackerangriff- 
politiker-leak-daten-dokumente-twitter 


5 https://www.bvdnet.de/berufsbild/ 


Ein Jahr DSGVO - Aus dem Nähkästchen 


Endlich ist er da, der 25. Mai 2018. 
Die DSGVO tritt in Kraft. Endlich kein 
Tracking unseres Verhaltens im Internet 
mehr, endlich müssen Auskunfteien Er- 
gebnisse für Betroffene nachvollziehbar 
gestalten, endlich keine Videoüberwa- 
chung in U-, S- und Regionalbahnen 
mehr, endlich noch mehr Transparenz, 
endlich Aufklärung in leicht verständ- 
licher und möglichst einfachen Spra- 
chen, endlich ... Die Erwartungen vieler 
Bürger waren hoch. Die DSGVO brachte 
auch die Hoffnung, dass jetzt endlich 
Gesetze, die es schon vorher gab, um- 
gesetzt würden. Immerhin hat sich zum 
vorherigen Bundesdatenschutzgesetz 
(BDSG) ja gar nicht so viel geändert. 

Doch überrollte uns alle zuerst einmal 
eine E-Mail-Flut. Tausende und Aber- 
tausende an E-Mails bezüglich Einwil- 
ligungen in irgendwelche Newsletter 
wurden versandt. Betrüger sprangen auf 
diesen Zug auf. Viele der E-Mails ent- 
puppten sich als sogenannte Fishing- 
Mails. Für die Versendung von Newslet- 
tern war auch nach altem Recht schon 
eine Einwilligung der Betroffenen not- 
wendig. Für die meisten Unternehmen 
und Organisationen änderte sich daher 
nichts. Hier wurde lediglich noch ein- 
mal das Bewusstsein geschärft, dass die 
Versendung von Newslettern und an- 
derer Direktwerbung einer Einwilligung 
bedarf. Die Angst vor Abmahnanwälten 
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ließ hier einige handeln, die vorher die 
Gesetze und Vorschriften zum Daten- 
schutz noch nicht umgesetzt hatten. 

Direkt nach der Newsletter-Einwilli- 
gungs-Welle folgte die Cookie-Banner- 
Welle. Hier versuchten einige viel Geld 
zu verdienen, indem sie Software für 
nicht legale Cookie-Banner verkauften. 
Traurigerweise verbreiteten sich die il- 
legalen Cookie-Banner im Fluge. Viele 
Verantwortliche vertrauten ihren Web- 
designern und befassten sich augen- 
scheinlich nicht selbst mit der Geset- 
zeslage, oder sie vertrauten darauf, dass 
es für falsche Cookie-Banner so geringe 
Bußgelder gibt, dass sich die illegalen 
Cookie-Banner zur Kundengewinnung 
trotz Bußgelder rechnen. Viele Webde- 
signer vertrauen wiederum den Anbie- 
tern der Software, die sie für die Cookie- 
Banner einsetzen, statt sich selbst mit 
der Gesetzeslage auseinanderzusetzen. 
Bis heute sind die illegalen Cookie- 
Banner weit verbreitet. Es gibt nach wie 
vor Webdesign-CMS-Software, die mit 
illegalen Cookie-Bannern ausgeliefert 
wird. Hier ist also Vorsicht geboten und 
es sollte genau geprüft werden, ob der 
eingesetzte Cookie-Banner den gesetz- 
lichen Anforderungen entspricht. 

Nach wie vor sind sich auch der eine 
oder andere Webdesigner der Folgen für 
den Verantwortlichen nicht bewusst, 
wenn sie zu falschen Cookie-Bannern 


raten oder sie im Auftrag einbauen. Na- 
türlich können sich Webdesigner gegen 
Beratungs- und Planungsfehler versi- 
chern. Die Verantwortung und somit die 
Haftung liegt bei dem Verantwortlichen, 
also bei dem Unternehmen bzw. der Or- 
ganisation, für die mit der Webpräsenta- 
tion geworben wird. 

Immer wieder wurde die DSGVO im 
letzten Jahr verteufelt. In öffentlichen 
Diskussionen kam immer wieder das 
Argument: „Besonders hart würde es 
die Handwerker treffen.” Tatsächlich je- 
doch hatte die Handwerkskammer vor- 
gesorgt. Es fiel auf, dass keine andere 
Kammer ihre Mitglieder so gut auf die 
DSGVO vorbereitet hatte, wie die Hand- 
werkskammer. Immer wieder tauchten 
in der Presse Berichte über Fotogra- 
fen auf, die sich beschwerten, dass sie 
jetzt eine Einwilligung von Betroffenen 
bräuchten und alles so schwierig gewor- 
den sei. Interessanterweise ist das, was 
die Fotografen beklagten, aber garnicht 
neu gewesen. 

Ein Aufschrei ging auch durch viele 
Vereine und Parteien. Dabei hatte sich 
die Gesetzgebung auch für Vereine und 
Parteien gar nicht so stark geändert. Es 
war eher der Aufschrei des Bewusstwer- 
dens, dass auch Vereine und Parteien 
Gesetze und Vorschriften rund um den 
Datenschutz einhalten sollten. Daten- 
schutz gehört in Vereinen und Parteien 
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genauso zu der Compliance, mit der sich 
ehrenamtliche Vorstände befassen soll- 
ten, wie es in Unternehmen die Pflicht 
der Geschäftsleitung ist. 


Bürger suchen Rat 


Seit vielen Jahren engagiere ich mich 
in einem Verein für Bürgerrechte zum 
Thema Datenschutz. Wir bekamen immer 
schon Anfragen von ratsuchenden Per- 
sonen. Häufig waren es Beschäftigte mit 
ziemlich heftigen Fällen. Aber natürlich 
gab es auch andere Fälle. Im Grunde las- 
sen sich die Anfragen in drei Kategorien 
einteilen: Entweder ist aus datenschutz- 
rechtlicher Sicht alles in Ordnung, es ist 
ein Fall für die Spam-Beschwerdestelle 
oder es ist ein Fall für den Datenschutz- 
beauftragten des Verantwortlichen 
beziehungsweise für die zuständige 
Aufsichtsbehörde. Wir raten immer zu- 
erst das vertrauliche Gespräch mit dem 
Datenschutzbeauftragten des Verant- 
wortlichen zu suchen, sofern es einen 
gibt. Da früher die Kontaktdaten der 
Datenschutzbeauftragten in der Regel 
nicht veröffentlicht wurden und selbst 
Beschäftigte häufig nicht darüber infor- 
miert wurden, wie sie den Datenschutz- 
beauftragten des Unternehmens errei- 
chen können, haben wir in solchen Fällen 
die Kontaktdaten beim Verantwortlichen 
nachgefragt und an die Betroffenen wei- 
tergeleitet. Seit Mai 2018 lässt sich in der 
Regel in der Datenschutzerklärung auf 
den Webpräsentationen der Firmen ein 
Kontaktdatum zur Erreichung des Daten- 
schutzbeauftragten finden. Allerdingsist 
es meistens eine E-Mail-Adresse, die we- 
nig Aufschluss darüber gibt, wer die an 
diese Adresse geschickten E-Mails alles 
mitlesen kann. 


Vertraulichkeit von Datenschutzbe- 
auftragten 


Die Datenschutzerklärungen vie- 
ler Webpräsentationen geben über die 
Empfänger der angegebenen E-Mail- 
Adressen zu Verantwortlichen und Da- 
tenschutzbeauftragten häufig keinen 
Aufschluss. Wünschen Betroffene ein 
vertrauliches Gespräch, schreiben wir 
die E-Mail-Adresse des Datenschutz- 
beauftragten an und bitten um die Be- 
reitstellung eines Schutzraumes für ein 
vertrauliches Gespräch mit Betroffenen. 
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Hierbei machten wir spannende Erfah- 
rungen. Immer wieder mussten wir fest- 
stellen, dass es leider eine Reihe Daten- 
schutzbeauftragte gibt, denen 838 Abs. 2 
BDSG bzw. 86 Abs. 5 Satz 2 BDSG (Ver- 
schwiegenheitspflicht) nicht bekannt 
war. Immer wieder mussten wir feststel- 
len, dass die Kommunikation mit dem 
betrieblichen Datenschutzbeauftragten 
an die Verantwortlichen weitergeleitet 
wurde. Die Fälle, in denen dieses durch 
die Betroffenen den zuständigen Behör- 
den gemeldet wurde, wurden von den 
Behörden sehr zügig behandelt und sie 
teilten den Betroffenen mit, dass sie mit 
den Verantwortlichen gesprochen ha- 
ben. Der eine oder andere Datenschutz- 
beauftragte entschuldigte sich dann 
auch bei den Betroffenen. 

Ein Datenschutzbeauftragter antwor- 
tete, nachdem die Betroffenen das Fehl- 
verhalten angesprochen hatten, dass er 
doch selbstverständlich den Geschäfts- 
führer in CC setzen müsse, denn es seija 
schließlich sein Chef. 

In durchaus vielen Fällen, in denen 
die Betroffenen den entsprechenden 
Datenschutzbeauftragten auf sein Fehl- 
verhalten angesprochen hatten, kam 
die Antwort: „Ich muss aber doch prü- 
fen, ob sie überhaupt Kunde des Unter- 
nehmens sind.” Natürlich dürfen sich 
nicht nur Kunden vertraulich an den 
Datenschutzbeauftragten wenden. 

Es waren nicht nur kleinere Unter- 
nehmen, bei denen die Kommunikati- 
on mit dem Datenschutzbeauftragten 
an andere Personen des verantwortli- 
chen Unternehmens gingen. Selbst ein 
Unternehmen aus der Erotikbranche 
war dabei. Der Vorfall hat uns ziemlich 
verwundert, denn das Unternehmen 
ist ansonsten für seine Diskretion be- 
kannt. Da die Betroffenen es als nicht 
so schlimm empfanden, meldeten sie 
den Vorfall nicht der Behörde, son- 
dern suchten das Gespräch. Der Daten- 
schutzbeauftragte bat um ein Telefo- 
nat, um die Sache zu klären. Es stellte 
sich heraus, dass er auf Grund einer 
extrem hohen Zahl von Anfragen, die 
bei ihm eingehen, für die er aber der 
falsche Adressat ist, die Anfrage der 
Betroffenen im Eifer des Gefechts ver- 
sehentlich weitergeleitet hatte. 

Bei einem großen Elektronikmarkt 
wendeten sich Betroffene an die E-Mail- 
Adresse des Datenschutzbeauftragten, 


die auf den Webseiten sowie den In- 
formationen zur Videoüberwachung 
am Markt angegeben waren. Nach acht 
Wochen bekamen sie eine Antwort vom 
Kundenservice, dass man hoffe, dass sie 
mit der gekauften Ware zufrieden sei- 
en. Das bedeutet, dass die angegebene 
E-Mail-Adresse tatsächlich im Ticket- 
system des Kundenservice landet, wo 
sie von einer uns unbekannten Anzahl 
Beschäftigten eingesehen werden kann; 
Beschäftigte oder gar Auftragsverarbei- 
tende? Callcenter? Ein Ticketsystem, 
in dem darüber hinaus üblicher Weise 
nicht nur Admins mitlesen können, son- 
dern häufig auch der Vertrieb, Marke- 
ting und die Geschäftsleitung. Wer ge- 
nau mitliest, wurde in der Datenschut- 
zerklärung auf der Webseite, auf der 
wir die E-Mail-Adresse gefunden hat- 
ten, nicht angegeben, obwohl Art. 13 
DSGVO vorschreibt, dass die Empfänger 
bzw. Kategorien der Empfänger genannt 
werden müssen. Die zuständige Behör- 
de kümmerte sich postwendend, nach- 
dem die Betroffenen sie einschalteten, 
konnte aber kein Fehlverhalten feststel- 
len. Auch fast ein Jahr später warten die 
Betroffenen immer noch auf die Ant- 
wort des Datenschutzbeauftragten zur 
eigentlichen Frage. 

Bei einem Lieferservice stand auf den 
Webseiten für den Verantwortlichen und 
den Datenschutzbeauftragten dieselbe 
E-Mail-Adresse. Als ich die angegebene 
Telefonnummer des Verantwortlichen 
anrief, um nach den Kontaktdaten zu 
fragen, landete ich in einem Callcenter, 
das augenscheinlich den Kundenservice 
für mehrere Lieferdienste übernahm, 
denn sie nannten mir die Kontaktdaten 
des Datenschutzbeauftragten eines an- 
deren Unternehmens. Erst auf erneute 
Nachfrage bekam ich die richtigen Da- 
ten. Der Datenschutzbeauftragte, den 
ich daraufhin selbst kontaktierte, war 
ziemlich entsetzt. Das Unternehmen 
wurde in der Zwischenzeit aufgekauft 
und hat heute auf seinen Webseiten ei- 
nen Datenschutzbeauftragten mit Sitz 
in den Niederlanden stehen. 

Die Betroffenen machten auch die 
Erfahrung, dass es Datenschutzbeauf- 
tragte gibt, die keine Anfragen von Be- 
troffenen entgegen nehmen. Sie teilten 
den Betroffenen mit, dass sie zwar Da- 
tenschutzbeauftragte des Verantwortli- 
chen seien, aber Gespräche zum Thema 
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Datenschutz würde der Verantwortliche 
selbst führen, das sei nicht beauftragt. 


Wonach fragten Bürger? 


Die erste Frage, die mich nach dem 
25. Mai 2018 erreichte, war eine Anfra- 
ge von mehreren extrem sehschwachen 
Personen. Sie fragten, ob nicht auch sie 
ein Recht darauf hätten, über Videoauf- 
zeichnungen im neuen Einkaufszent- 
rum sowie bei einem großen Elektronik- 
markt aufgeklärt zu werden, wenn sie 
dort einkaufen gehen. Der Datenschutz- 
beauftragte des Einkaufszentrums war 
kommunikationsbereit. Er teilte uns 
mit, dass das Einkaufszentrum nur für 
die Kameras in den Gängen verantwort- 
lich sei und nicht für die Kameras in 
den Geschäften selbst. Jedes einzelne 
der über achtzig Geschäfte wäre für die 
in seinem Bereich hängenden Kameras 
selbst verantwortlich und müsste auch 
selbst auf die Videoüberwachung auf- 
merksam machen. Eine Information für 
Blinde bzw. Sehschwache wäre derzeit 
seitens des Einkaufszentrumsmanage- 
ments nicht vorgesehen. Wir hakten 
bei der zuständigen Behörde nach. Die 
Behörde antwortete recht schnell und 
ausführlich, hatte aber leider auch noch 
keine Lösung für das Problem. 

Eine Bürgerin wendete sich an uns, 
weil der Bäcker in ihrer Nachbarschaft 
Kameras rund um die Bäckerei aufge- 
hängt hat und den Bürgersteig filmt. 
Sie hatte mit dem Bäckermeister bereits 
gesprochen, der zeigte sich aber unein- 
sichtig. Es meldeten sich noch weitere 
Nachbarn und beschwerten sich über 
die Kameras an der Bäckerei. Ehe ich 
mich versah, hatte die Nachbarschaft 
eine Unterschriftenaktion gegen die 
Kameras an der Bäckerei organisiert, 
die sie dann an die Aufsichtsbehörde 
schicken wollen. 

Betroffene bekamen ungewollte 
Newsletter von einem Erotik-Versand. 
Gemeinsam mit dem betrieblichen Da- 
tenschutzbeauftragten gingen wir der 
Sache nach, denn eigentlich schickt das 
Unternehmen nur Newsletter an Kunden, 
die wirklich den Haken gesetzt haben. Es 
stellte sich dann heraus, dass die E-Mail- 
Adressen der Betroffenen durch einen 
Adresshändler weitergeleitet worden wa- 
ren, der Verantwortliche darauf vertraut 
hatte, dass der Adresshändler auch wirk- 
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lich Einwilligungen von allen Betroffe- 
nen hatte, und der Verantwortliche hatte 
auch keinen Prozess, dass Adressen von 
Adresshändlern mit Kundendaten vergli- 
chen werden, die keine Newsletter wün- 
schen. 

Ein Verein, dessen Geschäftsstelle in 
einem anderen Bundesland ist als laut 
Satzung der Sitz des Vereins, fragte, bei 
welcher Behörde er den Datenschutzbe- 
auftragten melden müsse. Ich riet, den 
Datenschutzbeauftragten in jedem Fall 
in dem Bundesland zu melden, in dem 
der Verein laut Satzung den Sitz hat, 
und dann die Behörde zu fragen, ob es 
sinnvoll ist den Datenschutzbeauftrag- 
ten zusätzlich in dem Bundesland zu 
melden, in dem die Geschäftsstelle ist, 
da ja auf der Webseite, den Flyern und 
so weiter die Adresse der Geschäftsstelle 
steht. Telefonisch wurden sie gebeten, 
die Anfrage schriftlich einzureichen. 
Das taten sie im August 2018. Die Be- 
hörde antwortete im März 2019, dass 
die Anfrage eingegangen sei, sie aber 
so überlastet wären, dass die Beantwor- 
tung noch etwas dauern würde. 

Seit Herbst häuft sich die Frage: Wie 
können wir uns gegen Tracking wehren? 
Was können wir machen, damit das von 
Webseiten eingesetzte Analyse-Tool uns 
nicht erfasst? 

Warum dürfen wir kein WhatsApp 
nutzen? Diese Frage erreicht mich bis 
heute mehrfach. Gibt es nicht doch eine 
Möglichkeit, dass wir WhatsApp nutzen 
können? 


Fotos und Videos 


Es häuften sich auch die Nachfragen zu 
Einwilligungen für Fotos und Videos ins- 
besondere von Kindern, die dann zu Wer- 
bemafßnahmen veröffentlicht werden. 

Brauchen wir wirklich die Einwilli- 
gung von beiden Eltern? Wie alt muss 
das Kind sein, um mitzubestimmen? 
Müssen wir wirklich für jedes Kindergar- 
tenfest erneut eine Einwilligung einho- 
len? Dürfen wir Fotos von Kindern aus 
dem Ausland (Nicht-EU) auch ohne Ein- 
willigung verwenden? Wenn ich als EI- 
ternteil ein Gruppenfoto von der Klasse 
meiner Kinder mache und bei Facebook 
veröffentliche, dann brauche ich dafür 
doch keine Einwilligung oder? Müssen 
wir wirklich für jedes Medium, in dem 
wir die Fotos veröffentlichen, eine ext- 


ra Einwilligung haben? Reicht es nicht 
zu schreiben, wir veröffentlichen die 
Fotos? Müssen wir wirklich sagen, wir 
veröffentlichen die Fotos in unseren 
Flyern, in derlokalen Presse, in sozialen 
Medien? Wie lange dürfen wir die Fotos 
verwenden? Brauchen wir wirklich nach 
zwei Jahren eine erneute Einwilligung, 
wenn wir die Fotos weiter nutzen wol- 
len? Darf ich wirklich keine Fotos von 
der Geburtstagsfeier meines Kindes in 
soziale Netzwerke posten? Ich mach das 
doch privat und verfolge damit keine 
geschäftlichen Zwecke. 

Auch hier hat sich mit der DSGVO ei- 
gentlich nicht viel geändert. Andere, 
in Deutschland bereits bestehende Ge- 
setze, wurden nicht geändert. Wenn 
ein Kind nicht fotografiert werden will, 
dann ist es völlig egal, wie alt das Kind 
ist. Sagt das Kind Nein, dann ist das 
Nein zu akzeptieren, egal was die Eltern 
sagen. Auf Grund der Nein-bleibt-Nein- 
Gesetze spielt das Alter des Kindes bei 
einem „Nein“ in der deutschen Recht- 
sprechung keine Rolle. 

Das Bürgerliche Gesetzbuch sagt, dass 
Kinder im Alter von sieben beschränkt 
geschäftsfähig sind. 

Sagt das Kind „ja“ und einer der Erzie- 
hungsberechtigten „nein“, darfdasKind 
jedoch nicht fotografiert werden, da das 
„nein“ des Erziehungsberechtigten zum 
Wohl des Kindes ist. Entsprechend DS- 
GVO könnte ein Kind ab dem Alter von 
sechszehn Jahren allein bestimmen, ob 
es fotografiert werden möchte. Sagt ei- 
ner der Erziehungsberechtigten jedoch 
„nein“ bleibt es ein Fall für die Gerichte, 
ob hier nicht doch das Erziehungsrecht 
zum Wohl des Kindes überwiegt. Das 
zeigt schon, dass Fotos von Kindern zu 
veröffentlichen ein ziemlich komplizier- 
tes Themaist. 

Das Problem mit der Einwilligung al- 
ler Erziehungsberechtigten kennt die 
Medizin nur zu gut. Bei Fotos und Vi- 
deos ist das nicht anders. Hier kann der 
Verantwortliche schnell zum Spielball 
im Scheidungskrieg werden, wenn nur 
ein Elternteil eingewilligt hat. In der 
Medizin gibt es mittlerweile Rechtspre- 
chungen, wann die Einwilligung eines 
Elternteils ausreichend ist und wann 
nicht. Das ist aber nicht auf Fotos und 
Videos zu übertragen. Es ist in jedem 
Fall ratsam, stets die Einwilligung aller 
Erziehungsberechtigten einzuholen. 
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Selbstverständlich sind auch Einwilli- 
gung für Fotos und Videos zweckgebun- 
den. Der Zweck muss genau angegeben 
werden. Eine Generaleinwilligung für 
alle Kindergarten- und Schulveranstal- 
tungen im Laufe des Leben des Kindes 
gibt es nicht. 

Was ist mit Veranstaltungen wie Par- 
teitagen, Mitgliederversammlungen, 
Preisverleihungen oder ähnliches? 
Auch hier hat sich nichts geändert. 
Die einfachste Lösung ist hier nach wie 
vor, wenn nicht nur die Bühne abge- 
lichtet werden soll und freie Platzwahl 
herrscht, die Flächen, die fotografiert 
werden, zu markieren und bekannt zu 
geben. Alle Besuchenden müssen die 
Information erhalten, wo sie sich auf- 
halten können, wenn sie nicht fotogra- 
fiert werden möchten. 

Was ist mit Konferenzen? Auch hier hat 
sich nichts geändert. Werden die Vortra- 
genden für ein Streaming aufgezeichnet 
oder werden Fotos gemacht, benötigt der 
Veranstalter die Einwilligung des jeweili- 
gen Vortragenden. Auch wenn die Konfe- 
renz in Brüssel ist? Ja, die DSGVO gilt für 
die gesamte EU. 

Zum Thema Video wurde natürlich 
auch immer wieder nachgefragt: Lässt 
sich wirklich nichts gegen die Kameras 
in den U- und S-Bahnen machen? Wieso 
sind keine Schilder an U-Bahnstationen, 
die auf die Überwachung hinweisen? 


Beschäftigte, Freiheitsstrafen und 
Einwilligungen 


Mehrfach erreichte mich die Anfrage 
von Verantwortlichen: „Unser Betriebs- 
ratlässt nicht zu, dass die Beschäftigten 
die Verpflichtung auf Vertraulichkeit 
unterschreiben.” Auf die Frage nach 
dem Warum bekam ich die Antwort: 
„Weil da drin steht, dass die Mitarbeiter 
ins Gefängnis kommen können.” In ei- 
nem Fall hatten die Beschäftigten sogar 


Jetzt DVD-Mitglied werden: 


mit Einverständnis des Betriebsrats bei 
ihrer Einstellung die Verpflichtung auf 
das Datengeheimnis unterschrieben. 

Ein Verantwortlicher hatte die zu- 
ständige Behörde gefragt und zur Ant- 
wort bekommen: „Generellist hierzu an- 
zumerken, dass eine zur Vertraulichkeit 
verpflichtende Tätigkeit die Unterzeich- 
nung einer entsprechenden Verpflich- 
tungserklärung voraussetzt.” 

Gibt es nicht doch eine Möglichkeit, 
dass ich Fotos meiner Beschäftigten 
veröffentliche? Die Veröffentlichung 
von Fotos würde einer Einwilligung 
bedürfen. Eine Einwilligung muss frei- 
willig sein. Bei Beschäftigten im ab- 
hängigen Beschäftigungsverhältnis ist 
das mit der Freiwilligkeit schwierig. 
Eine Veröffentlichung von abgelichte- 
ten Beschäftigten sollte daher unter- 
lassen werden. Was anderes ist es bei 
leitenden Angestellten. Allerdings sind 
Führungskräfte nicht zwingend leiten- 
de Angestellte. 85 Abs. 3 und Abs. 4 
BetrVG definiert, wann Beschäftigte 
leitende Angestellte sind. 


Spam Beschwerdestelle 


Ich persönlich bekam dreimal im ver- 
gangenen Jahr von der Spam-Beschwer- 
destelle eine Mitteilung, dass bei der 
Überprüfung meines Spams herauskam, 
ich hätte angeblich ca. sechs Monate 
zuvor mit einer bestimmten IPv4-Adres- 
se an einem Gewinnspiel teilgenommen 
und zu einer sekundengenauen Uhr- 
zeit in die Weiterleitung meiner Daten 
eingewilligt. Es wurde ein Link zu dem 
Gewinnspiel angegeben. Auch in der 
Beratung häuften sich derartige Berich- 
te anderer Betroffener. Es ist hier nicht 
gerade einfach, einen Gegenbeweis zu 
liefern. Ich selbst hatte Glück. Da ich 
bei einem Anbieter bin, der den einzel- 
nen Haushalten nur IPv6-Adressen gibt 
und dann hunderten IPv6-Adressen die- 
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selbe IPv4-Adresse, ist die IPv4-Adresse 
hier zur Identifizierung nicht ausrei- 
chend. Zudem sollte ich angeblich Mi- 
crosoft-Produkte für die Teilnahme am 
Gewinnspiel genutzt haben. In meinem 
Haushalt gibt es gar keine Microsoft- 
Produkte. 

Es ist aber schwer, den Betrug nach- 
zuweisen, denn die wenigsten haben 
so viel Ahnung von ihren Routern und 
Anschlüssen, dass sie angebliche IP- 
Adressen prüfen könnten. Abgesehen 
davon, dass die Router die zugeteilten 
IP-Adressen ja auch nicht sechs Monate 
und länger speichern. 

Die Spam-Beschwerdestelle macht 
meiner Erfahrung nach einen super Job. 
Leider ist es ein Kampf gegen Windmüh- 
len. Aber, es lohnt sich. 


Amazon und Google 


Google hat am 2. April 2019 die Be- 
reitstellung von Google Plus für Privat- 
nutzer abgeschaltet. Google Plus gibt 
es jetzt nur noch Business to Business 
(B2B). 

Amazon stellt konsequent nur noch 
Rechnungen an juristische Personen 
aus. Dadurch entfällt die zehnjährige 
Aufbewahrungspflicht auf Grund des 
Steuerrechts für die Anschrift von Pri- 
vathaushalten. Meines Wissens handelt 
Amazon nicht mit Waren, die unter 814 
Abs. 2 lit. 1 UStG fallen würden. 


Fazit: 


Die DSGVO hat wesentlich mehr Men- 
schen für das Thema informationelle 
Selbstbestimmung sensibilisiert. Die 
meisten Behörden haben aufgestockt 
und erstaunlich schnell reagiert. 
WhatsApp und Fotos von Kindern sind 
vielen wichtig. Verantwortliche sind 
aufgewacht. Das Thema Datenschutz 
wird durchaus ernst genommen. 
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Riko Pieper 


Kuriositäten in der [Datenschutz-]Gesetzgebung - Folge 2 


Einleitung 


Im DANA Heft 3/2017! gab es den 
ersten Artikel über „Kuriositäten in der 
[Datenschutz-]Gesetzgebung“. Damals 
bezogen sich manche Beispiele noch 
auf das alte BDSG, andere bereits auf die 
DSGVO und teilweise auch auf das neue 
BDSG? - letztere waren zu diesem Zeit- 
punkt noch nicht wirksam. 


Nachdem inzwischen gut 1% Jah- 
re vergangen sind und seit über einem 
Jahr auch mit der neuen Gesetzgebung 
gearbeitet werden kann, ist der Autor 
auf weitere Beispiele gestoßen, die ge- 
eignet sind einen zweiten Teil dieser 
Kuriositätenreihe zu verfassen. Und wer 
weiß? Eventuell kommen weitere Folgen 
dazu - das Datenschutzrecht ist ja dies- 
bezüglich sehr ergiebig. Falls den Lesern 
selbst vergleichbare Kuriositäten aufge- 
fallen sind, teilen Sie uns diese gern per 
E-Mail mit an: dvd@datenschutzverein. 
de - Stichwort: „Kuriositäten“. 

Wie im ersten Artikel sind die Beispie- 
le wieder in drei Kategorien aufgeteilt, 
wobei es die Kategorie „Toter Code” jetzt 
nicht mehr gibt, dafür aber die neue 
„Konflikte zwischen DSGVO und BDSG“: 


1. Begriffe / Definitionen 
2. Konflikte zwischen DSGVO und BDSG 
3. Sprachwirrwarr 


Die folgenden Ausführungen stellen 
(wie im ersten Artikel) Beispiele aus der 
DS-Gesetzgebung dar (hauptsächlich aus 
derDSGVO und dem BDSG - aberteilweise 
auch nur aus deren falscher Anwendung 
- siehe Beispiel 10). Offensichtliche 
Tipp- oder Übersetzungsfehler, von de- 
nen es auch einige gibt und noch mehr 
gab, werden hier nicht thematisiert. 

Manche der folgenden Beispiele sind 
Aktualisierungen oder Ergänzungen zu 
Beispielen, die bereits im ersten Arti- 
kel behandelt wurden. In diesen Fällen 
gibt es keine Wiederholungen, sondern 
es werden ergänzende Aspekte dieser 
Beispiele erläutert, die aber auch ohne 
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Rückgriff auf den alten Artikel gelesen 
werden können. 

Wie im ersten Artikel wurden die 
Beispiele aus der speziellen Sicht des 
Autors formuliert, der als Datenschüt- 
zer in seiner Rolle als Informatiker und 
Nicht-Jurist an einer öffentlichen Stel- 
le tätig ist. 


Teil I: Begriffe / Definitionen 


1. Beispiel: „privacy by design” und 
„Privacy by default” 


In der Fachliteratur ist, wenn es um 
den Art. 25 DSGVO geht, meistens von 
„privacy by design“ und „privacy by 
default“ die Rede. Selbst in Artikeln in 
deutscher Sprache werden diese Be- 
griffe oft benutzt. Die DSGVO enthält 
diese Begriffe jedoch nicht - weder in 
der deutschen, noch in der englischen? 
Version. In der englischen Version wird 
statt „privacy“ der Begriff „data protec- 
tion” benutzt. Der Art. 25 DSGVO hat die 
Überschrift: „Data protection by design 
and by default“. 

Der englische Begriff „data protec- 
tion” ist jedoch nicht identisch mit dem 
amerikanischen „privacy“. Dass es in 
den USA (vorsichtig ausgedrückt) ein 
anderes Verständnis zum Datenschutz 
gibt alsin Europa, ist bekannt. „Privacy“ 
bezieht sich nur auf die „Privatsphäre”* 
und nicht auf alle personenbezogenen 
Daten. Das ist ein großer Unterschied. 
Beispielsweise fallen personenbezoge- 
ne Daten von Beschäftigten nicht unter 
„privacy“, denn die Daten von Beschäf- 
tigten werden im Unternehmenskontext 
nicht als „Privatsphäre“ betrachtet. 

Die übliche Sprechweise von „pri- 
vacy” ist übrigens nicht die englische 
(Lautschrift: „privasi” - das „i” wie ein 
deutsches „i” gesprochen), sondern die 
amerikanische (Lautschrift: „praivasi” - 
das „i” wie „ai” gesprochen). Ist es nun 
nur als konsequent oder als verräterisch 
zu betrachten, dass sich für den Begriff 
„Datenschutz” der europäischen DSGVO 
ein amerikanischer Begriff und sogar 
die amerikanische Sprechweise dafür 


durchgesetzt hat, obwohl es in der DS- 
GVO anders (korrekt) steht? 

Zugegeben: Das Wort „privacy” geht 
leichter über die Lippen, als der sperrige 
Begriff „data protection”. Das kann aber 
nicht der ganze Grund für den Austausch 
der Begriffe sein. Vielmehr scheint es ein 
Hinweis darauf zu sein, wie viel Einfluss 
welche Lobbyisten in wessen Auftrag 
während der Verhandlungen der DSGVO 
hatten. Man muss sich nur einmal vor- 
stellen, wie leicht hier Verwirrung ge- 
stiftet wird, wenn man sich mit Juristen 
amerikanischer Unternehmen über die 
Rechte von Beschäftigten austauscht 
und dann immer (deren) Begriff „priva- 
cy“ nutzt, aber den europäischen Daten- 
schutz meint. 

Zusätzlich zum Begriff „privacy“ 
kann man sich auch die beiden anderen 
(wirklich in der englischen Version vor- 
handenen) Begriffe des Art. 25 DSGVO 
„design“ und „default” bzw. deren 
deutsche Übersetzung einmal näher 
betrachten. Gegen den Begriff „Vorein- 
stellungen“ wäre als Übersetzung von 
„default“ nichts zu sagen. Übersetzt 
wird „default“ aber mit „datenschutz- 
rechtliche Voreinstellungen”. Das ist 
im Kontext der DSGVO sicher nicht ganz 
verkehrt, aber es ist nicht Sache der 
Übersetzer, in den Übersetzungen et- 
was zu ergänzen, was im Original nicht 
steht. Gerade bei diesem Text, bei dem 
jedes Wort lange verhandelt wurde, kön- 
nen dadurch leicht Missverständnisse 
oder sogar Fehler entstehen. Spätestens 
bei dem anderen Begriff „design“ ist 
diese Ergänzung problematisch, denn er 
wird mit „Technikgestaltung” übersetzt 
statt nur mit „Gestaltung“. Inhaltlich 
wird der Artikel dann auch korrekt über- 
setzt, indem gleich im Absatz 1 Satz 1 
von „technischen und organisatori- 
schen Maßnahmen” die Rede ist. Das 
„design“ beschränkt sich also absolut 
nicht nur auf technische Aspekte, wie 
es die deutsche Übersetzung des Titels 
vermuten lässt. 

Eine allgemeine Vorgabe für die Über- 
setzer in Bezug auf (klarstellende) Er- 
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gänzungen scheint es nicht zu geben, 
denn beispielsweise die spanische Ver- 
sion des Titels von Art. 25 DSGVO lautet: 
„Protecciön de datos desde el disefio y 
por defecto“ - eine wörtliche Überset- 
zung der englischen Version. 

Um einen Übersetzungsfehler kann es 
sich bei den Ergänzungen in der deut- 
schen Version kaum handeln, aber was 
ist dann die Ursache? Ein namhafter 
Professor, der nicht nur Vorlesungen 
zum Internet-, IT- und Datenschutz- 
recht für seine Studenten hält, sondern 
auch Seminare für Anwälte und Daten- 
schutzbeauftragte, hat dazu seine eige- 
ne Theorie: Von ihm ist die Vermutung 
zu hören, dass es sich bei den Überset- 
zern der DSGVO nicht wirklich um Über- 
setzer gehandelt haben kann, sondern 
dass die damit Betrauten beispielswei- 
se aus dem Bereich der Schweinezucht 
kommen könnten. 


2. Beispiel: „öffentliche“ oder „nicht- 
öffentliche” Stelle - das ist hier die 
Frage 


In der DSGVO wird (nicht so grund- 
sätzlich wie im alten BDSG mit eigenen 
Abschnitten - aber doch oft) zwischen 
öffentlichen und nichtöffentlichen Stel- 
len unterschieden. Eine Definition für 
öffentliche oder nichtöffentliche Stel- 
len gibt es in der DSGVO jedoch nicht. 
Das blieb den nationalen Gesetzgebern 
überlassen. Im BDSG (alt wie neu) gibt 
es dann die entsprechende Klarstellung 
im $ 2. Ministerien und Ämter sind da- 
nach öffentliche Stellen, die privat- 
rechtlichen Stellen sind nichtöffentlich 
- bis hierhin scheint alles klar zu sein. 

Dann kommt jedoch eine wichtige Er- 

gänzung im 8 2 Abs. 4 Satz 2: 
„Nimmt eine nichtöffentliche Stelle ho- 
heitliche Aufgaben der öffentlichen Ver- 
waltung wahr, ist sie insoweit öffentliche 
Stelle im Sinne dieses Gesetzes.“ 

Dieser Fall betrifft nur sehr wenige 
Unternehmen, sodass über diese spezi- 
elle Konstellation wenig in der Literatur 
zu finden ist. 

Aufgrund der Tatsache, dass es ja um 
die Bestimmung geht, ob man eine öf- 
fentliche oder eine nichtöffentliche Stel- 
le ist, ist es ungünstig, dass der Satz als 
Voraussetzung bereits die nichtöffentli- 
che Stelle enthält. Die Definition ist so- 
mit rekursiv, da sie sich selbst enthält®. 
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Würde man das Wort „nichtöffentli- 
che“ streichen, dann hätte man keinen 
Selbstbezug mehr, sondern eine klare 
Aussage (die vermutlich auch so ge- 
meint war): 

„Nimmt eine nichtöffentliche Stelle 
hoheitliche Aufgaben der öffentlichen 
Verwaltung wahr, ist sie insoweit öffent- 
liche Stelle im Sinne dieses Gesetzes.” 

Die Beschränkung der Aussage auf 
nichtöffentliche Stellen ist also über- 
flüssig und schafft erst das Problem, 
dass man sich beim dritten Wort des 
Satzes Gedanken machen muss, ob das 
nun für die eigene Stelle gilt oder nicht. 

Darüber hinaus gibt es aber auch noch 

den 8 2 Abs. 5 Satz 1’: 
„Öffentliche Stellen des Bundes gelten als 
nichtöffentliche Stellen im Sinne dieses 
Gesetzes, soweit sie als öffentlich-recht- 
liche Unternehmen am Wettbewerb teil- 
nehmen.“ 

Auch dieser Satz enthält wieder die 
festzustellende Aussage als Voraus- 
setzung (in diesem Fall „öffentliche 
Stellen des Bundes”) in sich, sodass 
es wieder ein selbstbezüglicher Satz 
ist. Damit schließt sich der Kreis, falls 
man sowohl eine hoheitliche Aufgabe 
(des Bundes) wahrnimmt als auch „als 
öffentlich-rechtliches Unternehmen am 
Wettbewerb“ teilnimmt. Jetzt kommt es 
bei der Frage, ob man öffentliche oder 
nichtöffentliche Stelle ist, darauf an, 
in welcher Reihenfolge man die beiden 
Aussagen liest. 

Die Situation erinnert an „unbe- 
stimmte Ausdrücke”? in der Mathema- 
tik, bei denen das konkrete Ergebnis 
vom Einzelfall abhängt. Unbestimmte 
Ausdrücke sind: 


0:0, 0:°°, 00-00, 00:00, 0°, oo und 1” 


Ein Beispiel, das zu einem Ausdruck 
der Form 1” führt, ist die Definition der 


Eulerschen Zahl „e”°: 
. \r 
e= lim (1 + 2) 
n>%o n 


ım 

Der Ausdruck n—0o0o bedeutet, dass 
der Wert von „n” sehr, sehr groß ange- 
nommen wird - also gegen unendlich 
geht. Einerseits ist 1'° beliebig oft mit 
sich selbst multipliziert immer 1 und 
andererseits ist jede beliebige Zahl, die 
größer als 1 ist!! unendlich oft mit sich 


selbst multipliziert immer unendlich 
groß. Nach der einen Regel kommt also 
als Ergebnis immer 1 heraus, nach der 
anderen immer unendlich. 

Das Ergebnis dieses konkreten Aus- 
drucks wird als „Eulersche Zahl” oder 
kurz „e” bezeichnet und ist ungefähr: 
2,7182818. Man kann leicht mit einem 
Taschenrechner überprüfen, dass sich 
das Ergebnis für große Werte von „n“ 
diesem Wert nähert. 

Es wäre schön, wenn es bei dem oben 
beschriebenen Problem zur Bestim- 
mung einer Öffentlichen oder nichtöf- 
fentlichen Stelle ähnliche Möglichkei- 
ten gäbe sich dem Ergebnis wenigstens 
anzunähern. 


3. Beispiel: Noch’n Begriff"*: 
„Behörde“ 


Die im BDSG vorhandene Definition 
von öffentlichen Stellen unterscheidet 
nur zwischen öffentlichen Stellen des 
Bundes und öffentlichen Stellen der 
Länder. Es gibt aber öffentliche Stellen 
(Behörden), die weder zum Bund noch 
zu den Ländern gehören. Europäische 
Behörden wie z. B. die europäische Luft- 
fahrtbehörde EUROCONTROL” bezeich- 
nen sich als öffentliche europäische 
Stellen. Für diese Stellen selbst gelten 
statt der DSGVO andere Vorgaben, aber 
sie selbst bezeichnen sich als öffentli- 
che Stellen (und Behörden) im Sinne 
der DSGVO. Wenn nun eine deutsche 
öffentliche Stelle personenbezogene 
Daten an eine solche europäische öf- 
fentliche Stelle (Behörde) übermittelt, 
dann müsste als Rechtsgrundlage für 
die Übermittlung der $ 25 Abs. 1 BDSG 
(Datenübermittlungen durch öffent- 
liche Stellen - an öffentliche Stellen) 
herangezogen werden können. Die Fra- 
ge ist nur: Woraus lässt sich ableiten, 
dass solche EU-Institutionen „öffentli- 
che Stellen” im Sinne der DSGVO sind? 
Eine Definition für eine europäische öf- 
fentliche Stelle findet sich weder in der 
DSGVO noch im BDSG. 

Ähnlich wie die Begriffe „öffentli- 
che“ oder „nichtöffentliche Stelle” ist 
auch der Begriff „Behörde“ nicht in der 
DSGVO definiert, obwohl er durchaus 
benutzt wird. Im Gegensatz zur öffent- 
lichen oder nichtöffentlichen Stelle ist 
der Begriff der Behörde jedoch auch im 
BDSG nicht definiert. 
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Im alten BDSG gab es die Möglich- 
keit der Verarbeitung personenbezo- 
gener Daten im & 28 Abs. 1 für „eigene 
Geschäftszwecke”"‘, die jedoch auf die 
nicht-öffentlichen"® Stellen beschränkt 
war (weil 8 28 im Teil 3 für nicht-öffentli- 
che Stellen stand). In der DSGVO scheint 
es diese Beschränkung nicht mehr für 
alle öffentlichen Stellen zu geben, son- 
dern nur noch für Behörden, denn jetzt 
steht im Art. 6 DSGVO (Rechtmäßigkeit 
der Verarbeitung) am Ende von Abs. 1: 

„Unterabsatz 1 Buchstabe f gilt nicht 
für die von Behörden in Erfüllung ihrer 
Aufgaben vorgenommene Verarbei- 
tung.” 

Buchstabe f ist der Fall der Verarbei- 
tung „zur Wahrung der berechtigten In- 
teressen des Verantwortlichen...”. 

Das bedeutet, dass Behörden keine 
„berechtigten Interessen“ haben, die 
nicht auf einer klaren gesetzlichen Vor- 
gabe oder Einwilligung beruhen, sodass 
diese als Rechtsgrundlage immer eine 
der Optionen von Art. 6 Abs. 1lita-e 
DSGVO brauchen. 

Hier stellt sich nun die Frage, ob der 
(europäische) Gesetzgeber diese Ein- 
schränkung bewusst nur für (richtige) 
Behörden aufrechterhalten wollte und 
nicht für alle öffentlichen Stellen wie z. 
B. die eigentlich nichtöffentlichen Stel- 
len, die nur aufgrund ihrer hoheitlichen 
Aufgabe öffentliche Stellen sind (siehe 
Beispiel 2). Soviel steht jedenfalls fest: 
Um einen Übersetzungsfehler handelt 
es sich nicht. In der DSGVO wird im eng- 
lischen Original häufig zwischen „public 
body” und „public authority“ unter- 
schieden, welche konsistent in „öffent- 
liche Stelle” und „Behörde“ übersetzt 
wurden. 

Nachdem weder DSGVO noch BDSG 
hier weiterhelfen, muss man sich an 
anderer Stelle nach einer Definition 
erkundigen. Von Juristen hört man in 
diesem Zusammenhang (mal wieder): 
„Es kommt darauf an“. Dann wird argu- 
mentiert, dass man bei der Ausübung 
einer hoheitlichen Aufgabe eine Behör- 
de ist, bei anderen Verarbeitungen, die 
sich nicht aus der hoheitlichen Aufgabe 
ableiten lassen, jedoch nicht. Das mag 
korrekt sein, hilft im konkreten Beispiel 
aber nicht viel weiter, denn wenn die 
Frage, ob eine verantwortliche Stelle 
nun eine Behörde ist oder nicht, davon 
abhängt, ob die Verarbeitung zur Erfül- 
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lung der hoheitlichen Aufgabe erforder- 
lich ist, dann ist man automatisch eine 
Behörde, wenn man eine öffentliche 
Stelle (aufgrund der hoheitlichen Auf- 
gabe) ist. Die Unterscheidung zwischen 
Behörden und öffentlichen Stellen wäre 
dann überflüssig. 

Im Ergebnis stellt sich die Situation 
folgendermaßen dar: 

Wenn man als öffentliche Stelle per- 
sonenbezogene Daten im Rahmen der 
hoheitlichen Aufgabe verarbeitet, dann 
hat man eine klare Rechtsgrundlage 
(vermutlich Art. 6 Abs. 1 lit c oder e 
DSGVO). 

Wenn man personenbezogene Daten 
verarbeitet, die nicht zur Umsetzung 
der hoheitlichen Aufgabe erforderlich 
sind, dann ist man keine Behörde und 
kann sich somit auf Art. 6 Abs. 1lit fDS- 
GVO als Rechtsgrundlage berufen. 

Es fällt schwer zu glauben, dass dies 
die Intention des Gesetzgebers war, 
denn die Einschränkung im letzten Satz 
von Art. 6 Abs. 1 DSGVO wäre dann völ- 
lig sinnfrei - aber man kann damit ar- 
beiten. 


Teil II: Konflikte zwischen DSGVO 
und BDSG 


4. Beispiel: „Videoüberwachung” 


Die Videoüberwachung kommt in der 
DSGVO gar nicht konkret vor. Es gibt je- 
doch Stellen'‘, an denen die „Überwa- 
chung“ genannt ist und das kann dann 
auch die Videoüberwachung einschlie- 
ßen, sodass die Videoüberwachung 
nicht gänzlich im Widerspruch zur DS- 
GVO sein kann. 

Mit 8 4 BDSG (Videoüberwachung öf- 
fentlich zugänglicher Räume) gibt es 
jedoch einen konkreten Paragraphen, 
der die Videoüberwachung erlaubt. Für 
öffentliche Stellen gibt es wohl auch 
hinreichende Öffnungsklauseln in der 
DSGVO, aus denen sich der $ 4 BDSG 
herleiten lässt. Von mehreren Vertre- 
tern deutscher Aufsichtsbehörden wird 
jedoch entschieden bestritten, dass es 
auch für nichtöffentliche Stellen ent- 
sprechende Öffnungsklauseln gibt. Die 
Anwendbarkeit der Begründung im 8 4 
BDSG, wonach die Videoüberwachung 
von „öffentlich zugänglichen großflä- 
chigen Anlagen...” dem „Schutz von Le- 


ben, Gesundheit oder Freiheit von dort 
aufhältigen Personen“ dient und somit 
„als ein besonders wichtiges Interesse” 
anzusehen ist, wird im Falle einer nicht- 
öffentlichen Stelle seitens der Vertreter 
der Aufsichtsbehörden bestritten - das 
sei Aufgabe der Polizei oder anderer öf- 
fentlicher Stellen. 

Die Vertreter dieser Aufsichtsbehör- 
den haben auch angekündigt, gegen 
Stellen vorzugehen, die sich unter Beru- 
fung auf das oben genannte öffentliche 
Interesse auf eine Videoüberwachung 
nach 8 4 BDSG als Rechtsgrundlage be- 
rufen. Die eigentliche Rechtsgrundlage 
(auf oberster Ebene) muss ja sowieso 
eine der sechs Optionen aus Art. 6 Abs. 1 
DSGVO (Rechtmäßigkeit der Verarbei- 
tung) sein. Aber welche soll es sein? 


a Wenn eine (wirksame) Einwilligung 
vorliegt, ist dies eine wirksame 
Rechtsgrundlage. Das ist aber für Pro- 
zesse schwierig bis unmöglich, die mit 
allen betroffenen Personen funktio- 
nieren müssen, weil die Einwilligung 
immer freiwillig sein muss und auch 
jederzeit widerrufen werden kann. 
Darüber hinaus muss bei der Einwilli- 
gung auch auf dieses Widerrufsrecht 
hingewiesen werden. 


b Die Erfüllung eines Vertrages kann 
eine Rechtsgrundlage sein, aber die 
Videoüberwachung muss dann auch 
zur Erfüllung des Vertrages „erforder- 
lich” sein. Dasistein eher untypisches 
Beispiel für die Videoüberwachung. 


ie) 


Wenn die Videoüberwachung zur Er- 
füllung einer rechtlichen Verpflich- 
tung „erforderlich“ ist, wäre diese 
Option einschlägig. Es muss sich aber 
wirklich um eine „Verpflichtung“ han- 
deln und die Videoüberwachung muss 
auch „erforderlich“ sein. Auch diese 
Voraussetzungen sind für die Video- 
überwachung eher untypisch. Der 
oben genannte 8 4 BDSG verpflichtet 
nicht zur Videoüberwachung, son- 
dern erlaubt sie nur unter den ge- 
nannten Voraussetzungen, sodass er 
nicht als Rechtsgrundlage in diesem 
Sinne dienen kann. 


d Wenn die Verarbeitung „erforderlich“ 


ist, um lebenswichtige Interessen der 
betroffenen Person oder einer ande- 
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ren natürlichen Person zu schützen, 
kann dies als Rechtsgrundlage her- 
angezogen werden. Wie bei den zuvor 
genannten Optionen ist das wohl eher 
ein untypischer Fall für eine Video- 
überwachung. 


» 


Wenn die Videoüberwachung für die 
Wahrnehmung einer Aufgabe im öf- 
fentlichen Interesse liegt und hierzu 
„erforderlich“ ist, kann diese Option 
eine Rechtsgrundlage sein. Die Erfor- 
derlichkeit wird hier in den meisten 
Fällen schwer zu begründen sein und 
außerdem gibt es gegen diese Opti- 
on ein Widerspruchsrecht’’ seitens 
der betroffenen Person, auf das diese 
auch hingewiesen’? werden muss. 


h 


Die „berechtigten Interessen“ des 
Verantwortlichen sind der letzte Not- 
nagel und auch die schwächste der 
hier genannten Rechtsgrundlagen, 
weshalb auch (wie bei lit e - siehe 
oben) sowohl das Widerspruchsrecht 
als auch die Informationspflicht be- 
züglich des Widerspruchsrechts gel- 
ten. Darüber hinaus müssen die be- 
troffenen Personen bei dieser Option 
auch noch über die (angenommenen/ 
behaupteten) „berechtigten Inter- 
essen” des Verantwortlichen explizit 
informiert’? werden. 


In der Praxis wird es bei nichtöffent- 
lichen Stellen wohl meistens auf den 
Buchstaben „f“ hinauslaufen - mit 
allen damit verbundenen Problemen. 
Eine klare Rechtsgrundlage ohne Wi- 
derspruchsrecht (lit c) kommt wohl nur 
bei (einigen) öffentlichen Stellen in Be- 
tracht. 

Unabhängig von der Rechtmäßigkeit 
an sich gibt es auch noch den Konflikt 
zwischen dem Art. 13 DSGVO und den 
im & 4 BDSG angegebenen Informati- 
onspflichten. Im Abs. 2 steht dort, dass 
der „Umstand der Beobachtung und der 
Name und die Kontaktdaten des Verant- 
wortlichen ... durch geeignete Maßnah- 
men zum frühestmöglichen Zeitpunkt 
erkennbar zu machen” sind. Das ist 
deutlich weniger, als der Art. 13 DSGVO 
verlangt. 

Im & 4 Abs. 4 BDSG steht dann zwar, 
dass auch die Art. 13 und 14 DSGVO gel- 
ten, aber nur unter der Voraussetzung, 
dass die Videos einer „bestimmten Per- 
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son zugeordnet” werden. Die zusätzliche 
Angabe einer URL oder eines QR-Codes 
auf einem Informationsschild, über die 
man die restlichen Informationen des 
Art. 13 DSGVO abrufen kann, wären für 
den Verantwortlichen durchaus zumut- 
bar (fair). Eine Öffnungsklausel, über 
die die Informationspflichten derart 
eingeschränkt werden, lässt sich in der 
DSGVO nicht finden. 

Insgesamt ist die hier beschriebene 
Situation nicht mehr kurios, wie es 
der Titel dieses Beitrags suggeriert, 
sondern schlicht eine Frechheit gegen- 
über den Verantwortlichen und deren 
Datenschutzbeauftragten. Es handelt 
sich schließlich nicht um einen Tipp- 
fehler oder eine anders entstandene 
Unklarheit oder Lücke im Gesetz, son- 
dern um eine bewusste Überschreitung 
der Kompetenz des deutschen Gesetz- 
gebers - speziell des Innenministeri- 
ums und hier speziell des ehemaligen 
Innenministers Thomas de Maiziere 
- gegen die auch sofort Vertragsver- 
letzungsverfahren angekündigt wur- 
den. Diskutiert wurde darüber vor der 
Verabschiedung des Gesetzes genug?', 
sodass keiner (der Beteiligten am Ge- 
setzgebungsprozess) sagen kann, er 
hätte davon nichts gewusst. Dass eine 
EU-Verordnung das Maß der Dinge ist 
- und nicht das BDSG - steht klar im 
Art. 288 AEUV”, hat sich aber offenbar 
noch nicht in allen Ministerien herum- 
gesprochen. Dort steht: „Die Verord- 
nung hat allgemeine Geltung. Sieistin 
allen ihren Teilen verbindlich und gilt 
unmittelbar in jedem Mitgliedstaat.” 

Eine empfehlenswerte Lektüre in 
diesem Zusammenhang ist auch die 
„schriftliche Stellungnahme zum öf- 
fentlichen Fachgespräch zur Daten- 
schutz-Grundverordnung am 24. Febru- 
ar 2016 im Ausschuss Digitale Agenda 
des Deutschen Bundestags”?? - Antwor- 
ten von Prof. Rossnagel auf Fragen der 
Bundestagsabgeordneten zur DSGVO 
(siehe insbesondere die Absätze 3 und 4 
von Antwort 2). Dort steht bezüglich der 
Situation, dass sich EU-Verordnung und 
nationales Recht widersprechen: 

„Dieses Nebeneinander kann dazu 
führen, dass sich Regelungen wider- 
sprechen und sich die Frage stellt, wel- 
che Regelung anwendbar ist. In einem 
solchen Konflikt genießt die Unions- 
verordnung Anwendungsvorrang. Sie 


ist von den nationalen Behörden und 
Gerichten anzuwenden. Die konfliktie- 
rende - weiterhin geltende - deutsche 
Vorschrift darf in diesem konkreten 
Konfliktfall nicht angewendet werden 
- gleichgültig, ob sie früher oder später 
als die Unionsnorm ergangen ist. Dieser 
Anwendungsvorrang, den sowohl der 
Europäische Gerichtshof als auch das 
Bundesverfassungsgericht ihrer Recht- 
sprechung zugrunde gelegt haben, wur- 
de auch in der Protokollerklärung Nr. 17 
zum Vertrag von Lissabon anerkannt.” 

Das bedeutet, dass die DS-Aufsichts- 
behörden diesbezüglich nicht erst ein 
oberstes Gerichtsurteil abwarten müs- 
sen, sondern dass sie bereits jetzt im 
Konfliktfall nur die DSGVO zu beachten 
haben, und sie haben angekündigt sich 
daran zu halten. 


5. Beispiel: Log-Dateien und weitere 
allgemeine zur Aufrechterhaltung 
des Betriebs erforderliche Verarbei- 
tungen 


Im BDSG-alt gab es für nicht-öffentli- 

che Stellen folgenden & 31 „Besondere 
Zweckbindung”: 
„Personenbezogene Daten, die aus- 
schließlich zu Zwecken der Datenschutz- 
kontrolle, der Datensicherung oder zur 
Sicherstellung eines ordnungsgemäßen 
Betriebes einer Datenverarbeitungsan- 
lage gespeichert werden, dürfen nur für 
diese Zwecke verwendet werden.“ 


Für Öffentliche Stellen gab es im $ 14 
Abs. 4 BDSG-alt einen gleichlautenden 
Absatz. 

In der DSGVO gibt es keinen entspre- 
chenden Artikel aber im neuen BDSG 
gibt es im 8 23 „Verarbeitung zu ande- 
ren Zwecken durch öffentliche Stellen” 
Abs. 1 Nr. 6 folgende erlaubte Ausnah- 
me für Verarbeitungen, die nicht dem 
ursprünglichen Zweck der Verarbeitung 
entsprechen: 

Wenn „sie der Wahrnehmung von Auf- 
sichts- und Kontrollbefugnissen, der 
Rechnungsprüfung oder der Durchfüh- 
rung von Organisationsuntersuchun- 
gen des Verantwortlichen dient; dies 
gilt auch für die Verarbeitung zu Aus- 
bildungs- und Prüfungszwecken durch 
den Verantwortlichen, soweit schutz- 
würdige Interessen der betroffenen Per- 
son dem nicht entgegenstehen.” 
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Im anschließenden 8 24 BDSG ist kei- 
ne entsprechende Ausnahme für nicht- 
öffentliche Stellen genannt, sodass nun 
in Kreisen von Datenschützern teilweise 
angenommen wird, dass es bei nichtöf- 
fentlichen Stellen keine Rechtsgrundla- 
ge mehr für das Anlegen von Log-Datei- 
en oder anderen zur „Wahrnehmung von 
Aufsichts- und Kontrollbefugnissen, der 
Rechnungsprüfung oder der Durchfüh- 
rung von Organisationsuntersuchungen 
des Verantwortlichen” erforderlichen 
Verarbeitungen mehr gibt. 

Das ist aus Sicht des Autors eine fal- 
sche Annahme. Man muss aber leider 
um mehrere Ecken denken, bis man zur 
Auflösung kommt. 

Zum einen muss man feststellen, dass 
die oben genannten 88 des alten BDSG 
gar keine Erlaubnis enthielten, sondern 
nur Beschränkungen! Die eigentliche Er- 
laubnis stand auch im alten Gesetz nicht 
explizit, sondern wurde implizit (weil er- 
forderlich) vorausgesetzt. Sie ergab sich 
beispielsweise aus der Vorgabe der tech- 
nischen und organisatorischen Maßnah- 
men, zu denen auch Log-Dateien etc. 
gehören. Zum anderen waren die Para- 
grafen bzw. der Absatz im alten BDSG nur 
deklaratorisch (und somit überflüssig), 
denn bei einer Verarbeitung dieser Daten 
für einen anderen Zweck hätte man dafür 
keine Rechtsgrundlage, sodass es dieser 
zusätzlichen Beschränkung eigentlich 
gar nicht bedurfte. 

Das ist der Grund dafür, dass die DS- 
GVO diese Sonderfälle nicht explizit be- 
handelt, und es ist aus EU-Sicht auch 
keine Veränderung, denn die alte EU 
DS-Richtlinie enthielt diesbezüglich 
auch keine Angaben. Das wurde nur 
im deutschen BDSG ergänzt und nun 
fällt es auf, wenn diese Klarstellung 
(teilweise) fehlt. Da es aber nur für öf- 
fentliche Stellen hinreichenden Spiel- 
raum (Öffnungsklauseln) für so eine 
Klarstellung gibt, ist sie auch nur in 
diesem Fall angegeben und im nichtöf- 
fentlichen nicht. 

Wenn man nun diesen Hintergrund 
nicht kennt (oder beim Lesen des BDSG 
nicht daran denkt), dann ist die Ge- 
genüberstellung der beiden 88 23 und 
24 tatsächlich sehr missverständlich 
und der 8 23 Abs. 1 Nr. 6 alles andere 
als eine Klarstellung, sondern eher die 
Ursache für das hier dargestellte Miss- 
verständnis. 
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Leider gibt es weitere Fälle solcher 
missverständlichen „Klarstellungen“, 
die nur mit ähnlicher Argumentation 
wie in dem hier dargestellten Fall aufge- 
löst werden können. Als Beispiel seien 
hier die Aufgaben des DSB genannt, die 
im & 7 BDSG für öffentliche Stellen aus- 
führlich (fast identisch zur DSGVO) und 
im $ 38 BDSG für nichtöffentliche Stel- 
len gar nicht beschrieben sind. 


6. Beispiel: Gilt die DSGVO auch für 
Ergänzungen im BDSG 


In der zweiten Jahreshälfte 2018 gab 
es Diskussionen darüber, ob dieim 8 38 
BDSG enthaltene erweiterte?‘ Pflicht 
zur Benennung eines Datenschutzbe- 
auftragten (DSB) von nichtöffentlichen 
Stellen aufrecht erhalten bleiben oder 
ob sie aus dem BDSG wieder gestrichen 
werden sollte. Eine Öffnungsklausel 
für diese Ergänzung im BDSG gibt es 
ausdrücklich im Art. 37 Abs. 4 DSGVO. 
Sie wurde auf besonderen Druck der 
deutschen Verhandlungspartner dort 
aufgenommen. Umso mehr verwunder- 
te ein Vorschlag auf Initiative der Län- 
der Bayern und Baden-Württemberg, 
dass das neue BDSG ausgerechnet in 
diesem Punkt wieder geändert und auf 
diese zusätzliche Benennungspflicht 
verzichtet werden sollte. Der Vorschlag 
fand dann zwar im Bundesrat keine 
Mehrheit und anschließend auch im 
Bundestag nicht, aber die Lobbyisten 
hatten es immerhin geschafft, dies 
Thema so weit zu bringen. 

An dieser Stelle sei auch einmal daran 
erinnert, dass das Konzept der unter- 
nehmensinternen Kontrolle durch ei- 
gene DSB vor Jahrzehnten auf Wunsch 
der Wirtschaft ins deutsche BDSG auf- 
genommen wurde, weil man einerseits 
kaum eine Möglichkeit sah, die im BDSG 
vorgesehenen Aufgaben ohne (aus- 
gebildete) DSB umzusetzen und sich 
andererseits so erhoffte, von den Auf- 
sichtsbehörden (AB) ein Stückweit in 
Ruhe gelassen zu werden. Für letzteres 
gab es im BDSG sogar einen zusätzli- 
chen Anreiz zur Bestellung eines DSB, 
denn wer einen DSB bestellt hatte, war 
von der Meldepflicht (des Verfahrens- 
verzeichnisses an die eigene Aufsichts- 
behörde) nach 8 4d Abs. 2 BDSG-alt 
befreit. Einen entsprechenden zusätz- 
lichen Anreiz gibt es in der DSGVO und 


im aktuellen BDSG leider nicht, was ggf. 
eine Ursache für die oben genannte In- 
itiative war. 

Das Kuriose an dieser Geschichte ist 
nun, wie in diesem Zusammenhang für 
oder gegen die Streichung der Bestell- 
pflicht argumentiert wurde und hier 
insbesondere der „Kompromiss“, der 
von einigen Datenschützern ins Spiel 
gebracht wurde: 

Dort wurde argumentiert, dass die im 
BDSG enthaltene erweiterte Pflicht zur 
Benennung eines DSB problemlos erhal- 
ten bleiben kann, weil ein Verstoß da- 
gegen nicht sanktioniert werden kann. 
Die Argumentationskette ging in etwa 
wie folgt: 

Ein Verstoß gegen die DSGVO liegt 
nicht vor, weil die erweiterte Pflicht zur 
Benennung des DSB nicht in der DS- 
GVO steht, sondern nur im BDSG. Somit 
greift der Art. 83 DSGVO (Allgemeine 
Bedingungen für die Verhängung von 
Geldbußen) nicht und das BDSG enthält 
keine eigene Sanktion gegen einen Ver- 
stoß gegen 8 38. 

Das sieht nach einer gelungenen Win- 
Win-Situation aus. Die Befürworter der 
erweiterten Benennungspflicht sind 
zufrieden, weil & 38 BDSG unverändert 
bleiben kann und die Gegner sind zu- 
frieden, weil sie diesen Paragraphen 
problemlos ignorieren können. 

Wenn man aber anfängt so zu argu- 
mentieren, dann stellen sich weitere 
Fragen wie z. B.: 


« Wie sieht es mit einem Verstoß gegen 
die (sowieso gegenüber der DSGVO 
schon eingeschränkte) Informations- 
pflicht im Falle einer Videoüberwa- 
chung nach 8 4 BDSG? aus? 

« Wird auch ein Verstoß gegen & 26 
BDSG (Datenverarbeitung für Zwecke 
des Beschäftigungsverhältnisses) nicht 
sanktioniert? 


Teil III: Sprachwirrwarr 


7. Beispiel: Braucht man für die 
Verarbeitung besonderer Kategori- 
en personenbezogener Daten keine 
Rechtsgrundlage nach Art. 6 Abs. 1 
DSGVO? 


Einerseits enthält Art. 6 Abs. 1 DSGVO 


eine vollständige Aufzählung (lit a bis 
lit f) von Optionen, von denen mindes- 
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tens eine erfüllt sein muss, damit eine 
Verarbeitung personenbezogener Daten 
rechtmäßig ist. 

Andererseits enthält Art. 9 DSGVO für 
die „Verarbeitung besonderer Kategorien 
personenbezogener Daten” eigene Vor- 
aussetzungen. 

Nun wird von vielen Juristen die Mei- 
nung vertreten, dass diese beiden Artikel 
gleichberechtigt nebeneinander stehen 
und entweder der eine (Art. 6) gilt, wenn 
es sich nicht um besondere Kategorien 
personenbezogener Daten handelt oder 
der andere (Art. 9), wenn es um beson- 
dere Kategorien personenbezogener 
Daten geht. Eine andere Auffassung ist, 
dass Art. 6 immer gilt und im Fall von be- 
sonderen Kategorien personenbezoge- 
ner Daten darüber hinaus auch noch die 
Bedingungen von Art. 9, dass in diesem 
Fall also ein zweites Verbot mit Erlaubnis- 
vorbehalt hinzukommt. 

Ein formales Argument für diese zweite 

Sichtweise, der sich auch der Autor die- 
ses Artikels anschließt, liegt im Wortlaut 
von Art. 6 Abs. 1 Satz 1 DSGVO: 
„Die Verarbeitung ist nur rechtmäßig, 
wenn mindestens eine der nachstehen- 
den Bedingungen erfüllt ist:” - danach 
kommt die vollständige Aufzählung der 
sechs Optionen a -f. 


Dort steht nicht, dass es über die 
sechs Optionen hinaus weitere Fälle ei- 
ner rechtmäßigen Verarbeitung geben 
kann. So gesehen muss es sich bei Art. 9 
um zusätzliche Bedingungen handeln 
die zur allgemeinen Rechtmäßigkeit 
von Art. 6 im Fall von besonderen Kate- 
gorien personenbezogener Daten noch 
hinzukommen. 

Ein anderer - inhaltlicher - Punkt für 
diese Interpretation der DSGVO ist im 
Art. 9 Abs. 2 lit e DSGVO zu finden. Dort 
steht alseine der Optionen, wann auch die 
Verarbeitung besonderer Kategorien per- 
sonenbezogener Daten erlaubt ist: „die 
Verarbeitung bezieht sich auf personen- 
bezogene Daten, die die betroffene Person 
offensichtlich öffentlich gemacht hat”. 

Das ist insofern interessant, als es 
diese Rechtsgrundlage bei Art. 6 Abs. 1 
DSGVO (also für „normale“ personenbe- 
zogene Daten) nicht gibt. Auch hierzu 
gibt es wieder zwei Auffassungen: 


a Nach der einen Auffassung ist dies ein 
Beleg für die handwerklich schlecht 
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gemachte DSGVO, denn es kann nicht 
gewollt sein, dass etwas nur für be- 
sondere Kategorien personenbezoge- 
ner Daten erlaubt ist, für die norma- 
len personenbezogenen Daten aber 
nicht. Angeblich steht das dort aber. 


b Nach der anderen Auffassung lässt 
sich hier jedoch ableiten, dass der im 
Art. 9 Abs. 2 lit eDSGVO beschriebene 
Fall auch für normale personenbezo- 
gene Daten gilt. Als Rechtsgrundla- 
ge im Sinne des Art. 6 Abs. 1 DSGVO 
müsste man sich dann auf lit f (be- 
rechtigtes Interesse des Betroffenen) 
beziehen. Dagegen gibt es jedoch 
auch ein Widerspruchsrecht, das 
dann auch für besondere Kategorien 
personenbezogener Daten gilt. Im 
Art. 9 DSGVO steht zwar kein Wider- 
spruchsrecht, aber das ist auch nicht 
nötig, wenn Art. 9 DSGVO nur ergän- 
zend zu Art. 6 DSGVO zur Anwendung 
kommt und nicht alternativ dazu. So 
gesehen gibt es keinen Widerspruch 
und alles ergibt Sinn. 


8. Beispiel: „Risikoabschätzung” - 
ein Henne-Ei-Problem 


Art. 35 „Datenschutz-Folgenabschät- 
zung“ (DSFA) Abs. 1 Satz 1 DSGVO lautet: 
„Hat eine Form der Verarbeitung, insbeson- 
dere bei Verwendung neuer Technologien, 
aufgrund der Art, des Umfangs, der Um- 
stände und der Zwecke der Verarbeitung vo- 
raussichtlich ein hohes Risiko für die Rechte 
und Freiheiten natürlicher Personen zur Fol- 
ge, so führt der Verantwortliche vorab eine 
Abschätzung der Folgen der vorgesehenen 
Verarbeitungsvorgänge für den Schutz per- 
sonenbezogener Daten durch.” 


Die „Risikoabschätzung” (die Be- 
stimmung des Risikos einer Verarbei- 
tung) findet also unabhängig von einer 
DSFA in jedem Fall statt. Vom Ergebnis 
des ermittelten Risikos hängt es dann 
ab, ob eine DSFA durchzuführen ist. 
Das Ergebnis einer DSFA ist demnach 
die Bestimmung der Folgen des Risikos 
für die betroffene Person - und nicht 
das Risiko selbst. 

Art.36 ,VorherigeKonsultation” Abs.1 
DSGVO lautet: 

„Der Verantwortliche konsultiert vor der 
Verarbeitung die Aufsichtsbehörde, wenn 
aus einer Datenschutz-Folgenabschät- 


zung gemäß Artikel 35 hervorgeht, dass 
die Verarbeitung ein hohes Risiko zur 
Folge hätte, sofern der Verantwortliche 
keine Maßnahmen zur Eindämmung des 
Risikos trifft.” 


Hier steht nun, dass das Risiko das 
Ergebnis einer DSFA ist. Das Risiko ist 
somit Voraussetzung und Ergebnis der 
DSFA. Gemeint ist vermutlich ein in 
der DSFA aktualisiertes/konkretisier- 
tes Risiko, aber das steht dort nicht 
und das ist vermutlich eine der Ursa- 
chen für die vielen Fragen zu diesem 
Thema. 

Eine weitere sprachliche Ungenau- 
igkeit besteht bei diesem Abs. 1 in der 
Aussage, dass die Konsultation der Auf- 
sichtsbehörde (nur) stattfinden muss, 
„sofern der Verantwortliche keine Maß- 
nahmen zur Eindämmung des Risikos 
trifft”. Eigentlich ist die Aussage nicht 
ungenau, sondern sehr präzise - aber 
vermutlich anders gemeint. Denn bei 
wörtlicher Auslegung steht dort, dass 
eine einzige umgesetzte Maßnahme 
(unabhängig von der Höhe des Risikos 
und unabhängig davon, wie sehr das 
Risiko durch weitere ggf. leicht umzu- 
setzende Maßnahmen erheblich redu- 
zierbar wäre) reichen würde, um die 
Konsultation der Aufsichtsbehörde zu 
umgehen. Es ist schwer vorstellbar, dass 
dies die vom Gesetzgeber?’ intendierte 
Aussage sein sollte. 


In der „Info 6“? der?” Bundesbeauf- 

tragten für den Datenschutz und die In- 
formationsfreiheit (BfDI) steht im Kap. 
4.4 (5. 24) hierzu: 
„Zeigt die Datenschutz-Folgenabschät- 
zung ein verbleibendes hohes Risiko, 
muss zudem die Datenschutzaufsichtsbe- 
hörde konsultiert werden (Art. 36 Abs. 1 
DSGVO).“ 


Nein - das steht so definitiv nicht 
dort (s. oben). Das Problem bei dieser 
Auslegung ist außerdem, dass hier die 
umgesetzten Maßnahmen keine Rolle 
spielen, was vermutlich so auch nicht 
gemeint war. 

Konsequent ist daher auch, dass die 
(neuere) „Info 1”? der BfDI diesen Ab- 
satz ersatzlos gestrichen hat. Die neue 
Info-Broschüre enthält tatsächlich gar 
nichts zur DSFA. Das ist zwar nicht hilf- 
reich aber auch nicht falsch. 
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9. Beispiel: Gibt es in der DSGVO 
(k)eine allgemeine Löschpflicht? 


Vor etwa einem Jahr war vereinzelt 
die Meinung bzw. Behauptung zu hören, 
dass es in der DSGVO keine allgemeine 
Löschpflicht mehr gäbe, sondern nur 
noch auf Verlangen der betroffenen Per- 
son. Das schien zunächst schwer nach- 
vollziehbar zu sein, denn es gibt ja den 
Art. 17 DSGVO, der eine Löschung unter 
den dort angegebenen Bedingungen 
klar fordert. Der Art. 17 Abs. 1 DSGVO 
lautet: 

„Die betroffene Person hat das Recht, von 
dem Verantwortlichen zu verlangen, dass 
sie betreffende personenbezogene Daten 
unverzüglich gelöscht werden, und der 
Verantwortliche ist verpflichtet, personen- 
bezogene Daten unverzüglich zu löschen, 
sofern einer der folgenden Gründe zutrifft: 


a Die personenbezogenen Daten sind für 
die Zwecke, für die sie erhoben oder 
auf sonstige Weise verarbeitet wurden, 
nicht mehr notwendig. 


b Die betroffene Person widerruft ihre 
Einwilligung, auf die sich die Verarbei- 
tung gemäß Artikel 6 Absatz 1 Buch- 
stabe a oder Artikel 9 Absatz 2 Buch- 
stabe a stützte, und es fehlt an einer 
anderweitigen Rechtsgrundlage für 
die Verarbeitung. 
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Die betroffene Person legt gemäß 
Artikel 21 Absatz 1 Widerspruch gegen 
die Verarbeitung ein und es liegen kei- 
ne vorrangigen berechtigten Gründe für 
die Verarbeitung vor, oder die betroffene 
Person legt gemäß Artikel 21 Absatz 2 
Widerspruch gegen die Verarbeitung 
ein. 


d Die personenbezogenen Daten wurden 
unrechtmäßig verarbeitet. 


e Die Löschung der personenbezogenen 
Daten ist zur Erfüllung einer rechtli- 
chen Verpflichtung nach dem Unions- 
recht oder dem Recht der Mitgliedstaa- 
ten erforderlich, dem der Verantwortli- 
che unterliegt. 


f Die personenbezogenen Daten wurden 
in Bezug auf angebotene Dienste der 
Informationsgesellschaft gemäß Arti- 
kel 8 Absatz 1 erhoben.“ 
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Wenn man das liest, scheint spätes- 
tens ab dem Ende des Buchstaben „a)” 
klar zu sein, dass die personenbezoge- 
nen Daten zu löschen sind, wenn sie 
„nicht mehr notwendig” sind - und zwar 
unabhängig davon, ob der Betroffene 
das gefordert hat oder nicht. 

Woher kommt dann diese andere In- 
terpretation, die man beim besten Wil- 
len hier nicht herauslesen kann? Das 
Wort „notwendig“ am Ende des Buch- 
staben „a)” verwundert zwar und man 
fragt sich, warum hier nicht wie ansons- 
ten in der DSGVO (und im BDSG - alt wie 
neu) üblich, stattdessen „erforderlich“ 
steht, aber das kann nicht solche Aus- 
wirkungen haben. Außerdem zeigt ein 
Vergleich mit der englischen Verhand- 
lungssprache der DSGVO, dass dort „ne- 
cessary“ steht - also genau der Begriff, 
der ansonsten immer mit „erforderlich“ 
übersetzt wird. Der Begriff „notwendig“ 
hat also keinerlei Bedeutung, sondern 
ist mal wieder eine künstlerische Note 
der Sehweinez... Übersetzer, die sich 
offensichtlich gelangweilt hatten und 
etwas Abwechslung in den Text bringen 
wollten. 

Handelt es sich bei der Aussage, dass 

es die Löschpflicht in der DSGVO nur 
noch sehr eingeschränkt gibt (wenn es 
der Betroffene verlangt und außerdem 
die übrigen Voraussetzungen dafür er- 
füllt sind) nur um eine vernachlässig- 
bare Einzelmeinung? Bei der Recherche 
nach der Quelle für diese Aussage wurde 
der Autor auf die Kommentare „Schaff- 
land/Wiltfang””' zum Art. 17 DSGVO 
verwiesen. Dort steht tatsächlich bei 
Rdn. 1 Abs. 2: 
„Der wesentliche Unterschied zum BDSG 
2003 liegt darin, dass der Verantwortli- 
che nicht mehr per se zur Löschung ver- 
pflichtet ist, wie dies & 34 Abs. 2 Satz 2 
BDSG 2003 vorsah, wenn einer der Tatbe- 
stände des Abs. 1 vorliegt, sondern nur, 
wenn der Betroffene dies verlangt, also 
einen entsprechenden Antrag stellt. Es 
liegt folglich an ihm, tätig zu werden, 
wenn seine Daten gelöscht werden sollen. 
Dieser Fall wird damit in der Praxis der 
Ausnahmefall bleiben und entlastet die 
Praxis. Gleichwohl bietet es sich an, Da- 
ten, die nicht mehr benötigt werden, zu 
löschen.” 


Es handelt sich also nicht um eine ver- 
nachlässigbare Einzelmeinung, sondern 


um eines der Standardwerke zum Daten- 
schutz und somit um einen sehrverbreite- 
ten Kommentar. Auch beim mehrfachen 
Nachlesen des Art. 17 Abs. 1 DSGVO kann 
der Autor die hier dargestellte Interpre- 
tation nicht nachvollziehen. Von einem 
Juristen einer auf Datenschutz speziali- 
sierten Anwaltskanzlei erfuhr der Autor 
dieses Artikels dann, dass das „und“ von 
„und der Verantwortliche ist verpflichtet” 
von den Kommentatoren vermutlich als 
UND-Verknüpfung interpretiert wurde, 
sodass immer beide Bedingungen (vor 
und hinter dem „und“) erfüllt sein müss- 
ten. Der Jurist distanzierte sich jedoch 
sofort von dieser Interpretation, die er 
selbst nicht teilen würde. 

Abgesehen davon, dass der Kommen- 
tar mit der angegebenen Referenz auf 
den & 34 BDSG-alt offensichtlich einen 
Tippfehler enthielt”, ist die Interpre- 
tation der Kommentatoren trotz dieses 
Hinweises auf die UND-Verknüpfung 
nicht nachvollziehbar. Das Ganze erin- 
nert an eine Szene aus einem Heinz Er- 
hardt Film?®: 

Heinz Erhardt steht als Beamter hin- 

ter einem geschlossenen Schalter. Ein 

Bürger, der ein Anliegen hat, klopft 

ans Fenster und Heinz Erhardt fragt: 

„Was wollen Sie? Sehen Sie nicht, dass 

geschlossen ist?” Der Bürger antwor- 

tet: „Auf dem Schild hier steht, dass 

Dienstag und Freitag geöffnet ist und 

heute ist Dienstag.“ Heinz Erhardt 

antwortet: „Ja - aber nicht Freitag.” 


Ein Komiker wie Heinz Erhardt darf so 
argumentieren und man kann sogar dar- 
über lachen. Aber: Darf man das auch in 
einem juristischen Kommentar’? 

Während der Autor über diese Frage 
nachdachte, ist ihm noch eine zweite 
(selbst erlebte) Geschichte eingefallen. 
Ein Teilnehmer meldete sich während 
einer der größten jährlich stattfinden- 
den Datenschutzveranstaltungen in 
Deutschland zu Wort und begann seine 
Frage/Rede mit: 

„Die Aufgabe von uns Juristen ist es ja 
oft, Rechtsunsicherheit herzustellen...” 


Obwohl sicher die Hälfte der Teilneh- 
mer Juristen waren, gab es nirgends 
einen Widerspruch. Man konnte nur 
sehen, dass viele grinsten, sich Blicke 
zuwarfen oder versteinert auf die Füße 
starrten. 
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10. Beispiel: Unsinnige Einwilligungen 


Ein Thema, mit dem jeder Bürger und 
speziell jeder Datenschutzbeauftragte 
im letzten Jahr massiv konfrontiert war, 
ist die Flut an (meist unsinnigen) Ein- 
willigungen, die einem zur Unterschrift 
vorgelegt werden. Dabei handelt es sich 
in diesem Fall nicht um eine problema- 
tische Formulierung im Gesetz, sondern 
nur um das, was fälschlicherweise aus 
dem Gesetz gemacht wurde. 

In vielen Fällen war den Verantwort- 
lichen dieser Formulare einfach nur der 
Unterschied zwischen Informations- 
pflicht nach Art. 13 DSGVO und Einwil- 
ligung als Rechtsgrundlage nach Art. 6 
Abs. 1 lit a DSGVO nicht klar. Anstatt die 
Informationspflicht z. B. mit einer Da- 
tenschutzerklärung umzusetzen, über 
die man informiert wird oder die man 
bestenfalls (z. B. per schriftlicher Bestä- 
tigung) zur Kenntnis nehmen kann, wur- 
de oft bei der Unterschrift das „Einver- 
ständnis” verlangt. Damit handelt es sich 
dann aber nicht mehr um reine Informa- 
tion, sondern um eine Einwilligung. Das 
Problem dabei ist, dass eine Einwilligung 
immer freiwillig sein muss und auch je- 
derzeit widerrufen werden kann. 

Prozesse, bei denen man darauf an- 
gewiesen ist, dass sie mit allen Betei- 
ligten gleichermaßen durchgeführt 
werden, können daher nicht auf einer 
Einwilligung beruhen. Das ist aber 
auch gar nicht nötig, denn wenn man 
auf eine Einwilligung nicht verzichten 
bzw. einen Widerruf nicht umsetzen 
kann, dann ist die Verarbeitung der Da- 
ten offensichtlich (z. B. aufgrund eines 
Gesetzes oder zur Erfüllung eines Ver- 
trages mit dem Betroffenen) erforder- 
lich und dafür gibt es eigene Rechts- 
grundlagen (z.B. Art.6 Abs. 1litb oder 
lit cDSGVO). Eine Einwilligung braucht 
man dann nicht mehr. Wenn man aber 
nach dem Motto „sicher ist sicher” 
trotzdem zusätzlich eine Einwilligung 
einholt, dann geht man nicht auf Num- 
mer sicher, sondern man schafft sich 
so erst das oben genannte Problem mit 
dem Widerspruchsrecht (bzw. dem Ri- 
siko, dass die Einwilligung von Anfang 
an nicht gegeben wird). 

Hier handelt es sich im Ergebnis si- 
cher um das größte globale Kunden- 
vernichtungsprogramm der letzten 
Jahrzehnte. Sehr viele Unternehmen 
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haben aufgrund der DSGVO (bzw. der 
neuen Bußgelder der DSGVO) alle Kun- 
den mit entsprechenden Einwilligungs- 
formularen angeschrieben. Das ist umso 
erstaunlicher, als sich die Rechtslage 
durch die DSGVO gegenüber dem alten 
BDSG in der Sache gar nicht geändert 
hat. Wer also bisher keine Einwilligung 
brauchte, braucht sie auch jetzt nicht, 
weil die alte Rechtsgrundlage nach wie 
vor gilt. Wer bisher keine Rechtsgrund- 
lage hatte, brauchte zwar eine, aber das 
hat dann nichts mit der DSGVO zu tun, 
denn die Rechtsgrundlage wäre ja auch 
vor dem 25. Mai 2018 bereits erforder- 
lich gewesen. Ärgerlich ist in diesem 
Zusammenhang, dass dieses Chaos der 
DSGVO zugeschrieben wird. 

Die betroffenen Personen waren 
im Normalfall spätestens nach der 3. 
oder 4. Einwilligung dieser Katego- 
rie genervt und haben sie nur noch 
weggeworfen. Damit konnten diese 
„Kunden“ dann aber auch aus den Un- 
ternehmensdatenbanken entfernt wer- 
den, denn selbst wenn man bisher eine 
Rechtsgrundlage zur Verarbeitung von 
deren Daten hatte, hatte man sie nun 
ggf. (mindestens für den im Einwilli- 
gungsformular angegebenen Zweck) 
nicht mehr. Nach allgemeiner Rechts- 
auffassung kann man in so einem 
Fall nicht ersatzweise wieder auf eine 
andere Rechtsgrundlage zurückgrei- 
fen. Wenn man das könnte, würde die 
Freiwilligkeit der Einwilligungen und 
deren Widerspruchsrecht keinen Sinn 
mehr machen. 

Es scheint klar zu sein, dass die ver- 
breitete Unsitte mit den überflüssigen 
Einwilligungen nicht von Datenschutz- 
experten in die Welt gesetzt worden sein 
kann”. Es muss also Kreise außerhalb 
der Datenschutzbeauftragten geben, 
die sich im Datenschutzrecht zwar nicht 
auskennen, aber trotzdem diesbezüg- 
lich beraten’ und entsprechende Ein- 
willigungsformulare entwerfen. 

Wenn man sich vor diesem Hinter- 
grund einmal ausmalt, was passiert 
wäre, wenn die Gesetzesinitiative von 
Bayern und Baden-Württemberg (sie- 
he Beispiel 6 Abs. 1) durchgegangen 
wäre... 

Nachtrag - kurz vor Redaktions- 
schluss: Zu dem in den anderen Ar- 
tikeln dieses Heftes angesprochenen 
Entschließungsantrag des Landes Nie- 


dersachsen zu diesem Thema sagt der 
aktuelle BfDI (Ulrich Kelber), dass ein 
Wegfall der Datenschutzbeauftragten 
keinen Bürokratie- sondern einen Kom- 
petenzabbau zur Folge hätte. Dem kann 
man nur uneingeschränkt zustimmen. 


Fazit 


Es wird noch lange nicht langweilig. 


1 Das komplette Heft ist unter https:// 
www.datenschutzverein.de/wp-content/ 
uploads/2018/08/DANA_17_3_ 
Sonderheft-40_Jahre_DVD.pdf abrufbar. 


2 Im folgenden Text ist mit „BDSG“ immer 
das neue BDSG (ab 25. Mai 2018) 
gemeint, sofern es nicht ausdrücklich 
anders angegeben ist. 


3 Mit Ausnahme einer Fußnote auf Seite 
107, zum Erwägungsgrund 173 DSGVO 
bezüglich der „Datenschutzrichtlinie 
für elektronische Kommunikation”: 
„Directive 2002/58/EC ofthe European 
Parliament and ofthe Council of 12 July 
2002 concerning the processing of per- 
sonal data and the protection of privacy 
in the electronic communications sector 
(Directive on privacy and electronic 
communications) (OJL 201, 31.7.2002, 
p. 37)” 


4 Dasist auch die deutsche Übersetzung 
im oben erwähnten Erwägungsgrund 
173 der DSGVO (s. auch Endnote 3). 


6 Hierhandelt es sich um eine Ergän- 
zung zum Beispiel 2 des Artikels über 
die Kuriositäten in der DANA 3/2017. 
Zu selbstbezüglichen Sätzen und den 
daraus resultierenden Problemen siehe 
auch die Beispiele 6 und 9 des Artikels 
von damals. 


7 Imalten BDSG gab es diese Einschrän- 
kung auch - in den 88 12 und 27. 


8 Siehe: https://de.wikipedia.org/wiki/ 
Unbestimmter_Ausdruck_(Mathematik) 


9 Siehe: https://de.wikipedia.org/wiki/ 
Eulersche_Zahl 


10 (1+*) ist gleich 1, wenn „n“ unendlich 
groß wird. 


11 Das ist bei 1 + * für noch so große Werte 
von nimmer der Fall. 


12 Der Autor outet sich hiermit als Heinz 
Erhardt Fan (noch’n Gedicht), wie 
insbesondere am Beispiel 9 unschwer zu 
erkennen ist. 


13 www.eurocontrol.int/ 


14 Siehe hierzu auch wieder Beispiel 2 des 
Artikels über die Kuriositäten in der 
DANA 3/2017 


DANA ® Datenschutz Nachrichten 2/2019 


15 Im alten BDSG wurde „nicht-öffentlich” 
noch mit Bindestrich geschrieben. 


16 Beispielsweise steht im Art. 35 (Daten- 
schutz-Folgenabschätzung - DSFA) Abs. 3 
lit cDSGVO, dass eine DSFA erforderlich 
ist, wenn eine „systematische umfang- 
reiche Überwachung öffentlich zugäng- 
licher Bereiche” vorliegt. 


17 Siehe Art. 21 Abs. 1 DSGVO 
18 Siehe Art. 13 Abs. 2 lit b DSGVO 
19 Siehe Art. 13 Abs. 1lit d DSGVO 


20 Siehe zum Begriff „fair“ das Beispiel 4 
des Artikels über die Kuriositäten in der 
DANA 3/2017 


21 Siehe z.B. https://www.datenschutzver- 
ein.de/wp-content/uploads/2016/11/ 
Stellungnahme_Videoueberwachung_ 
06112016.pdf 


22 Siehe: https://eur-lex.europa.eu/legal- 
content/DE/TXT/PDF/?uri=0J:C:2016:2 
02:FULL&from=DE 


23 Siehe: www.bundestag.de/blob/40951 
2/ 4afc3a566097171a7902374da77cc7 
ad/a-dıs-18-24-94-data.pdf 


Andrea Backer-Heuvedop 


24 Dort steht, dass Verantwortliche einen 
DSB auch dann zu benennen haben, 
„soweit siein der Regel mindestens zehn 
Personen ständig mit der automatisier- 
ten Verarbeitung personenbezogener 
Daten beschäftigen”. 


25 Siehe hierzu auch ausführlich das Bei- 
spiel 4. 


27 Die Interpretation der am Gesetzge- 
bungsprozess beteiligten Lobbyisten war 
eventuell genau die hier dargestellte. 


28 Siehe: www.uni-paderborn.de/fileadmin/ 
datenschutz/INFO6.pdf 


29 Als die Info 6 entstand und auch als die 
später im Text erwähnte Info 1 überar- 
beitet wurde, war noch Frau Voßhoff die 
BfDI, und noch nicht Herr Kelber, so dass 
es hier im Text bewusst „die BfDI” bzw. 
„der Bundesbeauftragten” heißt. 


30 Siehe: www.bfdi.bund.de/SharedDocs/ 
Publikationen/Infobroschueren/INFO1. 
pdf 


31 DSGVO Datenschutz-Grundverordnung 
Kommentar Schaffland/Wiltfang, Erich 
Schmidt Verlag, ISBN 978 3 503 17404 1 


Quo vadis, Datenschutzbeauftragter? 


Der betriebliche Datenschutzbeauf- 
tragte stellt in Deutschland ein seit über 
40 Jahren bewährtes Instrument zum 
Schutz personenbezogener Daten dar, 
das bereits im „Gesetz zum Schutz vor 
Mißbrauch personenbezogener Daten 
bei der Datenverarbeitung” vom 27. Ja- 
nuar 1977 Voraussetzungen enthielt. 
Dabei handelte es sich in & 28 BDSG 
1977'umsstrengere Voraussetzungen für 
eine solche Bestellung als es zum Zeit- 
punkt der Anwendbarkeit der EU-Daten- 
schutzgrundverordnung (EU-DSGVO) 
der Fall war. Mit der EU-Datenschutz- 
grundverordnung (EU-DSGVO) dehnt 
der Datenschutzbeauftragte seinen 
Wirkungsgrad nun auf alle Mitglieds- 
staaten aus. Der EU-Gesetzgeber hat 
den Mitgliedsstaaten jedoch Spielräume 
durch Art. 37 Abs. 48.1 Hs. 2 EU-DSGVO 
eröffnet, der es ihnen ermöglicht, von 
den Voraussetzungen der EU-DSGVO für 
die Benennung abzuweichen. So wer- 
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denin 8 38 Abs. 1 BDSG in Deutschland 
zusätzliche Fälle geregelt, in denen 
nichtöffentliche Verantwortliche einen 
Datenschutzbeauftragten benennen 
müssen, die eine große inhaltliche Kon- 
tinuität zur letzten Fassung des BDSG in 
& 4fBDSG alte Fassung aufweist. 
Demnach müssen Verantwortliche 
und Auftragsverarbeiter im Anwen- 
dungsbereich des BDSG unabhängig 
von der Anzahl der mit der Verarbeitung 
beschäftigten Personen einen Daten- 
schutzbeauftragten benennen, wenn 
a in der Regel mindestens zehn Perso- 
nen ständig mit der automatisierten 
Verarbeitung personenbezogener Da- 
ten beschäftigt werden oder 
b Verarbeitungen vorgenommen wer- 
den, die einer Datenschutz-Folgenab- 
schätzung nach Art. 35 DSGVO unter- 
liegen oder 
c personenbezogene Daten geschäfts- 
mäßig zum Zweck der Übermittlung, 


32 Die Löschung bei nicht-Öffentlichen 
Stellen war Thema des 8 35 BDSG-alt. 


33 Die Geschichte ist nur sinngemäß wie- 
dergegeben. An den genauen Wortlaut 
oder den Titel des Films erinnert sich der 
Autor nicht mehr. 


34 Dieser Satz ist ausdrücklich nicht als 
selbstbezüglicher Satz zu verstehen - 
diese Aussage bezieht sich auf den Satz 
im Text mit der Endnote am Ende und 
nicht auf diesen Satz in der Endnote. 


35 Der Autor ist in mehreren Datenschutz- 
vereinen Mitglied und ist überall auf 
dieselben Erfahrungen mit diesen 
unsinnigen Einwilligungen gestoßen. 
Niemand dort hatte dazu eine andere 
Meinung. 


36 Gemeint sind Kreise, die befugt sind, 
Rechtsauskünfte - auch im DS-Recht 
- zu geben, obwohl sie keine Daten- 
schutzbeauftragten sind. Diejenigen, die 
sich intensiv mit dem DS-Recht befasst 
haben, obwohl sie keine Datenschutzbe- 
auftragten sind, sind hier ausdrücklich 
nicht gemeint. 


der anonymisierten Übermittlung 
oder für Zwecke der Markt- oder Mei- 
nungsforschung verarbeitet werden. 


Während die Rufe nach standardi- 
sierter Qualifikation des Datenschutz- 
beauftragten zu Recht zunehmend 
lauter werden, da weder die EU-DSGVO 
noch das BDSG spezifische Anforderun- 
gen hinsichtlich seiner Fachkenntnisse 
oder Ausbildung vorsehen, werden in 
den Mitgliedsstaaten neue Berufsver- 
bände für Datenschutzbeauftragte ge- 
gründet. 

Zeitgleich wird hingegen in Deutsch- 
land immer wieder die Benennungs- 
pflicht des Datenschutzbeauftragten 
zum Gegenstand genommen, um ver- 
meintliche Entlastungen für den Mit- 
telstand und für Vereine zu diskutieren, 
wie zuletzt zum Beispiel durch den Ent- 
schließungsantrag des Landes Nieder- 
sachsen an den Bundesrat zur Änderung 
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datenschutzrechtlicher Bestimmungen 
vom 02.04.2019. 

Mit Anwendbarkeit der EU-DSGVO kam 
es auch zu einer Änderung des Aufga- 
benkatalogs des Datenschutzbeauftra- 
gen. Bezüglich der neueren Anteile die- 
ses Aufgabenkatalogs wurden im ersten 
Jahr der Anwendbarkeit der EU-DSGVO 
die ersten Gehversuche gemacht, sie 
bedürfen aber bezüglich ihrer Ausfül- 
lung noch einer Weiterentwicklung in 
Richtung abgestimmter Best Practices 
anhand der Umsetzungserfahrungen 
dieses ersten Jahres. 

Dieser Artikel soll Hinweise zur Be- 
antwortung der Fragestellungen geben, 
welche Kriterien Verantwortliche und 
Auftragsverarbeiter bei der Entschei- 
dung des für sie richtigen Datenschutz- 
beauftragten derzeit anlegen können, 
ob ein Wegfall oder eine Senkung der 
Benennungspflicht tatsächlich die be- 
absichtigten Entlastungseffekte schaf- 
fen kann und welche Erfahrungen be- 
züglich der neu geregelten Teile der ge- 
setzlichen Aufgaben des Datenschutz- 
beauftragten festzustellen sind. 


Anforderungen an die Qualifikation 
des Datenschutzbeauftragten 


Gemäß der Rechtsprechung des Bun- 
desfinanzhofs (BFH) vor Anwendbarkeit 
der EU-DSGVO handelt es sich beim Daten- 
schutzbeauftragten um ein eigenständi- 
ges Berufsbild, das lt. BFH auf Grund des 
bezeichneten Anforderungsprofils nur 
dann mit der erforderlichen Fachkunde 
ausgeübt werden kann, wenn der Funk- 
tionsträger theoretisches Grundwissen 
aus diversen Lehrinhalten von Hoch- bzw. 
Fachhochschulstudiengängen (Ingeni- 
eur-, Rechtswissenschaften, Betriebswirt- 
schaftslehre und Pädagogik) aufweisen 
kann. Dabei erstrecke sich der erforder- 
liche interdisziplinäre Wissensstand aber 
nur auf Teilbereiche dieser Studiengänge, 
so dass es weder der Absolvierung, noch 
des Abschlusses eines dieser Hoch- bzw. 
Fachhochschulstudiengänge bedürfe. Der 
Datenschutzbeauftragte leistet demzufol- 
ge eine Beratungsleistung aufinterdiszip- 
linären Wissensgebieten. 

Die Auffassung, dass sich aufgrund der 
Komplexität der datenschutzrechtlichen 
Regelungen in EU-DSGVO, BDSG und wei- 
teren Vorschriften eine Erforderlichkeit 
dafür ergäbe, dass der Datenschutzbe- 
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auftragte ein Rechtsanwalt oder Vollju- 
rist sein sollte, wird den anderen Fach- 
disziplinen außerhalb der Rechtswissen- 
schaften damit nicht gerecht. Ergänzend 
sei an dieser Stelle auch darauf hinge- 
wiesen, dass zunehmend spezialisierte 
Studiengänge mit interdisziplinären An- 
sätzen insbesondere an Fachhochschu- 
len entwickelt wurden, die weite Teilbe- 
reiche des geforderten Fachwissens des 
Datenschutzbeauftragten beinhalten 
wie zum Beispiel Masterstudiengänge in 
Informationsrecht, Compliance & Daten- 
schutz, Wirtschaftsrecht etc. 

Aufgrund dieser Interdisziplinaritätist 
insbesondere die Überprüfung der Qua- 
lifikation einer Person, die die Funktion 
des Datenschutzbeauftragten überneh- 
men soll, für die Verantwortlichen und 
Auftragsverarbeiter nicht einfach, da 
der Nachweis eines bestimmten Studien- 
ganges allein offensichtlich gerade nicht 
ausreichen kann. 

Aus Sicht der europäischen Aufsichts- 
behörden in ihren Leitlinien? in Bezug auf 
Datenschutzbeauftragte ist die Entschei- 
dung für die Benennung einer Person zum 
Datenschutzbeauftragten basierend auf 
deren beruflicher Qualifikation und insbe- 
sondere ihres Fachwissens zu treffen, das 
sie auf dem Gebiet des Datenschutzrechts 
und der Datenschutzpraxis besitzt, sowie 
auf der Grundlage der Fähigkeit zur Erfül- 
lung ihrer Aufgaben‘ 

Wie also können Verantwortliche und 
Auftragsverarbeiter unter diesen Rahmen- 
bedingungen ihren Entscheidungsprozess 
vereinfachen und überprüfbar gestalten? 

Leider noch zu wenig bekannt scheint, 
dass der Berufsverband der Datenschutz- 
beauftragten Deutschlands (BvD) e.V. 
bereits seit 2009 Anforderungen an die 
Tätigkeit und das Know-how des Daten- 
schutzbeauftragten in seiner Publikation 
„Das berufliche Leitbild der Datenschutz- 
beauftragten”? definiert, die inzwischen 
bereits als 4. Ausgabe 2018 vorliegt. 

Voraussetzungen der Berufsausübung 
als Datenschutzbeauftragte sind nach 
diesem Leitbild, dass der Funktionsträger 
« mindestens eine angemessene beruf- 

liche Qualifikation in zumindest ei- 

ner der Kategorien Organisation und 

Prozesse, Informations- und Kom- 

munikationstechnologie (TuK) oder 

Recht besitzt und solides Fachwissen 

in den beiden anderen Kategorien 

erworben hat, 


« über eine mindestens 2-jährige Be- 
rufserfahrung in den genannten Berei- 
chen verfügt und 

« eine anerkannte Qualifikation zum Da- 
tenschutzbeauftragten erlangt hat. 


Zudem wird das erforderliche Fachwis- 
sen in den Bereichen Datenschutzrecht, 
Informations- und Kommunikations- 
technologie, Betriebswirtschaft und 
Organisation vorausgesetzt und um be- 
stimmte persönliche Voraussetzungen 
ergänzt. Mit Abgabe der schriftlichen 
„Selbstverpflichtung auf das berufliche 
Leitbild des Datenschutzbeauftragten” 
und bei entsprechendem Fachkundeer- 
haltungsnachweis können derart quali- 
fizierte Mitglieder durch den BvD bereits 
heute als entsprechend qualifiziert aus- 
gezeichnet werden. Der BvD führt ein 
Verzeichnis der externen Datenschutz- 
beauftragten‘, die sich auf das berufliche 
Leitbild des Datenschutzbeauftragen 
verpflichtet haben. 


Kann der Wegfall der Benennungs- 
pflicht kleine und mittlere Unter- 
nehmen und Vereine entlasten? 


Kernpunkt der Kritik an den in 
Deutschland geltenden Benennungsvor- 
aussetzungen sind daraus vermeintlich 
resultierende finanzielle und bürokrati- 
sche Benachteiligungen von insbeson- 
dere kleinen und mittleren in Deutsch- 
land ansässigen Unternehmen (KMU) 
gegenüber Unternehmen in anderen 
Mitgliedsstaaten. Diese Mehrbelastung 
durch Bürokratie soll für KMU und Ver- 
eine durch die geltende Mindestanzahl 
von zehn Personen insbesondere durch 
Kosten für die Benennung eines Daten- 
schutzbeauftragten sowie ggfs. dessen 
Aus- und Fortbildung bestehen. 

Eine Entbindung von der Benennungs- 
pflicht entbindet jedoch in keiner Form 
von den datenschutzrechtlichen Pflich- 
ten der Unternehmen, Institutionen und 
Vereinen im Hinblick auf die Erfüllung 
der gesetzlichen Anforderungen. Die 
Pflicht zur Implementierung der erfor- 
derlichen internen Datenschutzorgani- 
sation bleibt bestehen. 

Ein Wegfall der Benennungspflicht 
geht gerade nicht einher mit einem Weg- 
fall der Pflicht, Datenschutzprozesse 
zur Erfüllung der Betroffenenrechte zu 
schaffen, technische und organisatori- 
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sche Maßnahmen zum Schutz der per- 
sonenbezogenen Daten festzulegen und 
die datenschutzrechtlichen Dokumenta- 
tionspflichten zu erfüllen. 

Unberücksichtigt bleibt dabei, dass 
mit einem Wegfall der Benennungspflicht 
die Zielgruppe der kleinen und mittleren 
Unternehmen und Vereine lediglich die 
interne Beratungs- und Überwachungs- 
instanz für diese Vorgänge verliert. Dies 
geschieht zum Nachteil der betroffe- 
nen Personen, deren Daten verarbeitet 
werden, aber auch gegebenenfalls zum 
Nachteil der Zielgruppe selbst, wenn 
Versäumnisse in Unkenntnis begangen 
werden, auf die ein qualifizierter Daten- 
schutzbeauftragter rechtzeitig hinge- 
wiesen hätte. So können Versäumnisse 
entstehen, deren Folgen nicht nur das 
Risiko von Bußgeldern, sondern auch 
das Risiko von Schadenersatzanforde- 
rungen oder Unterlassungsansprüchen 
beinhalten können. Anzunehmen, dass 
bei einem Wegfall oder einer Minderung 
der Benennungspflicht der für den Da- 
tenschutzbeauftragten „gesparte” Auf- 
wand als Budget zur Umsetzung des Da- 
tenschutzes im Unternehmen eingesetzt 
würde, erscheint wenig wahrscheinlich 
und selbst wenn dies im Einzelfall Inten- 
tion sein sollte, müsste das Niveau des 
Fachwissens eines qualifizierten Daten- 
schutzbeauftragten erst an anderer Stel- 
le im Unternehmen aufgebaut werden. 

Sowohl EU-DSGVO als auch BDSG bein- 
halten einen risikobasierten Ansatz, der 
das Risiko aus Sicht der betroffenen Per- 
sonen im Fokus hält. Der Rufnach einem 
Wegfall oder einer Minderung der Benen- 
nungspflicht allein mit der Begründung 
des Bürokratieabbaus und zur Generie- 
rung von Kosteneinsparungen für die 
Verantwortlichen und Auftragsverarbei- 
ter und ohne dass diesem risikobasierten 
Ansatz konkret Rechnung getragen wird, 
wird der Verantwortung des Gesetzge- 
bers nicht gerecht. Weder gegenüber der 
zu entlastenden Zielgruppe noch gegen- 
über den betroffenen Personen, deren 
Daten verarbeitet werden. 


Wie entwickelt sich die Funktion des 
Datenschutzbeauftragten in Zukunft 
weiter? 


Die Wahrnehmung der Funktion des 


Datenschutzbeauftragten ist seit An- 
wendbarkeit der EU-DSGVO nicht einfa- 
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cher geworden. Eine Befragung der EU- 
Kommission’ hat ergeben, dass europa- 
weit inzwischen 67 % der Europäer und 
in Deutschland sogar 79 % von der EU- 
DSGVO gehört haben, 57 % (Deutschland 
58 %) wissen, dass es eine Aufsichtsbe- 
hörde in ihrem Mitgliedsstaat für den 
Schutz ihrer personenbezogenen Daten 
gibt?. Die Aufsichtsbehörden in Deutsch- 
land verzeichnen eine steigende Anzahl 
an Anfragen und Beschwerden’. Das 
Bewusstsein für den Datenschutz ist für 
jedermann spürbar gestiegen, nicht nur 
bei den betroffenen Personen, sondern 
auch bei den Verantwortlichen und Auf- 
tragsverarbeitern. Mit diesem gestiege- 
nen Bewusstsein erfolgte aber auch ein 
Erkenntnisgewinn in den Unternehmen 
und Vereinen über bestehende Unsicher- 
heiten oder gar Defizite in der Erfüllung 
der Anforderungen des Datenschutzes 
bei der Verarbeitung personenbezogener 
Daten. Datenschutzbeauftragte erleben 
eine gestiegene Nachfrage nach Bera- 
tung in den vielfältigsten Themenberei- 
chen und müssen nicht selten anhand 
ihres eigenen risikobasierten Maßstabs 
ihre Tätigkeit priorisieren. 

Bei seiner Tätigkeit muss der Daten- 
chutzbeauftragte gem. Art. 39 Abs. 2 
EU-DSGVO „dem mit den Verarbeitungs- 
vorgängen verbundenen Risiko” unter 
Berücksichtigung der Art, des Umfangs, 
der Umstände und der Zwecke der Ver- 
arbeitung gebührend Rechnung tragen. 
Dies bedeutet aus Sicht der Aufsichtsbe- 
hörden in erster Linie eine Konzentration 
auf die Bereiche, von denen ein höheres 
Risiko ausgeht. Seine Aufgaben lassen 
sich in vier Kernsegmente unterteilen: 
die Unterrichtung und Beratung bei der 
Einhaltung der datenschutzrechtlichen 
Vorschriften, die Überwachung der Ein- 
haltung der EU-DSGVO, seine Funktion 
im Rahmen einer vom Verantwortlichen 
durchzuführenden Datenschutz-Fol- 
genabschätzung sowie seine Funktion 
als Anlaufstelle der Aufsichtsbehörde 
und seine Zusammenarbeit mit der Auf- 
sichtsbehörde. Beratungs- und Überwa- 
chungsaufgaben sind dem Datenschutz- 
beauftragtem in Deutschland nicht 
fremd. In der Praxis noch weniger erprobt 
scheint jedoch noch seine Funktion als 
Ansprechpartner der Aufsichtsbehörden 
zu sein. Hier wird er in erster Linie eine 
Vermittlungsfunktion in der Kommuni- 
kation zwischen Verantwortlichem und 


Aufsichtsbehörde wahrnehmen, sobald 
die Aufsichtsbehörden ihn bei der Aus- 
übung ihrer Untersuchungs-, Abhilfe-, 
Genehmigungs- und beratenden Befug- 
nisse direkt adressieren. 

Mit der ständig steigenden Digitali- 
sierung in den Unternehmen wird auch 
die Bedeutung des Datenschutzbeauf- 
tragten zunehmen. Die Anforderungen 
an Fachwissen und Expertise werden mit 
dem Schutzbedarf der vom Verantwortli- 
chen verarbeiteten personenbezogenen 
Daten steigen. Umso wünschenswerter 
ist eine verbindliche Konkretisierung der 
berufsrechtlichen Voraussetzungen an 
die Qualifikation des Datenschutzbeauf- 
tragten. 


1 828 Bundesdatenschutzgesetz (1977), 
https://www.datenschutz-wiki.de/ 
BDSG_1977 


2 Entschließungsantrag des Landes 
Niedersachsen an den Bundesrat zur Än- 
derung datenschutzrechtlicher Bestim- 
mungen vom 02.04.2019, https: //www. 
bundesrat.de/drs.html?id=206-19, siehe 
dazu auch https://www. 
datenschutzverein.de/wp-content/ 
uploads/2019/04/2019-04-12-BR- 
Vorstoss-NDS-DSGVO.pdf 


3 Leitlinien des EDPB in Bezug auf Daten- 
schutzbeauftragte, http://ec.europa. 
eu/newsroom/article29/item-detail. 
cfm?item_id=612048 


4 aufseiner ersten Plenarsitzung gebilligte 
Leitlinien in Bezug auf Datenschutzbe- 
auftragte („DSB“) der Art. 29 Daten- 
schutzgruppe; WP 243 rev.01; Seite 27 


5 Das berufliche Leitbild der Datenschutz- 
beauftragten, https://www.bvdnet.de/ 
wp-content/uploads/2018/04/BvD- 
Berufsbild_Auflage-4_dt_en.pdf 


6 Verzeichnis der nach Verbandskriterien 
verpflichteten externen Datenschutz- 
beauftragten, Stand Oktober 2018, 
https://www.bvdnet.de/wp-content/ 
uploads/2018/11/BvD_ 
eDatenschutzbeauftragte_102018.pdf 


7 Fragebogen der EU-Kommission Special 
Eurobarometer 487a - Wave EB91.2 
- Kantar; Stand März 2019, http:// 
ec.europa.eu/commfrontoffice/ 
publicopinion//includes/images/ 
mimetype/pdf1.gif 

8 http://ec.europa.eu/commfrontoffice/ 
publicopinion//includes/images/mime- 
type/pdfi.gif 

9 https://www.bfdi.bund.de/DE/ 


Infothek/Pressemitteilungen/2019/17_ 
EinJahrDSGVO.html 
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Frank Spaeing 


Ein Jahr DSGVO - ein Überblick über viele Rückblicke 


Vorneweg, dies ist eine subjektive Zu- 
sammenstellung von verschiedensten 
Quellen. Zum einen habeich die Suchma- 
schine meiner Wahl gestartet (https:// 
www.startpage.com/de/) und in dieser 
als Suchbegriffe „ein jahr dsgvo” ein- 
gegeben (und dann sehr viel gelesen 
und subjektiv entschieden, was ich als 
Rückblick als sinnvoll und nicht zu sehr 
als Werbe- oder Interessengetrieben be- 
trachtet habe), zum anderen habe ich 
andere Seiten und Dokumente, die mir 
vorher schon bekannt waren, mit in die 
Ergebnisliste aufgenommen. Und wie 
stelle ich das jetzt alles übersicht dar? 
Ich habe mich dafür entschieden, aus 
jeder Quelle einen Satz zu zitieren, der 
mich im jeweiligen Beitrag angesprochen 
hat. Und manchmal konnte ich mir einen 
Kommentar nicht verkneifen. 


„Die DSGVO im Spannungsverhältnis 
zwischen Umsetzung, Menschen mit 
verdichtetem Rechtsbewusstsein und 
der normativen Kraft des Faktischen” - 
https://media.ccc.de/v/glt19-36-ein- 
jahr-dsgvo-und-jetzt-/related - Wenn 
das mal nicht ein toller Titel ist. (Video 
50 Minuten) 

„Lästig, aber notwendig: an den Da- 
tenschutz denken!” - https://www. 
facebook.com/Bundesregierung/ 
videos/675439856218513/ - Und wa- 
rum muss das auf Facebook sein, liebe 
Bundesregierung? (Video 1,5 Minuten) 

Vortrag von Katharina Nocun und Lars 
Hohl auf der re:publica 2019 - Best of 
DSGVO-Armageddon - https://www. 
youtube.com/watch?v=Q1EQU_HsNic 
(Video 58 Minuten) 

„SCHWERPUNKT: Ulrich Kelber, Bundes- 
beauftragter für Datenschutz und In- 
formationsfreiheit, bilanziert ein Jahr 
DSGVO” - https://www.tagesschau.de/ 
wirtschaft/ein-jahr-dsgvo-101.html 
(Video 6,5 Minuten) 

„Ein Jahr DSGVO - Stephan Hansen- 
Oest”-https://larsbobach.de/ein-jahr- 
dsgvo-stephan-hansen-oest/ - Der Da- 
tenschutz-Guru polarisiert gerne, hat 
aber auch oft Recht. (Audio 37 Minuten) 
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„Bußgelder nach einem Jahr DSGVO” - 
https://www.juraforum.de/ratgeber/ 
datenschutzrecht/ein-jahr-dsgvo 
„Ständig aktualisierte Seite zu Buß- 
geldern in der EU”: http://www. 
enforcementtracker.com/ 

„Dennoch zeigen erste Bußgelder, wel- 
che Datenschutzverstöße dringend ver- 
mieden werden sollten.” - https://www. 
haerting.de/neuigkeit/ein-jahr-dsgqvo 


+ „Es war teilweise überraschend, zu se- 


hen, dass viele kleinere Unternehmen 
sich vor der DSGVO nur unzureichend 
mit dem Thema Datenschutz auseinan- 
dergesetzt hatten und die Anforderun- 
gen des alten Bundesdatenschutzgeset- 
zes häufig nicht erfüllten.” - https:// 
www.wbs-law.de/datenschutzrecht/ 
ein-jahr-dsgvo-eine-bilanz-aus-der- 
anwaltspraxis-80330/ 

„Auch ein Jahr nach ihrem Inkrafttre- 
ten führt die DSGVO damit weiterhin zu 
intensiven politischen Diskussionen.” 
-  https://www.golem.de/news/ein- 
jahr-dsgvo-datenschutzbeschwerden- 
bleiben-auf-hohem-niveau-1905- 
141477.html 

„Ein Drittel der Manager in deutschen 
Unternehmen gibt zu, vom Thema DS- 
GVO zwar gehört zu haben, aber nicht 
zu wissen, worum es dabei konkret 
geht.“ - https://blog.wiwo.de/look- 
at-it/2019/05/27/ein-jahr-dsgvo- 
nutzung-von-whatsapp-auf-job- 
smartphones-im-vergleich-zu-2018- 
gestiegen/ 

„Vor einigen Jahren hätte sich wohl 
kaum ein Apotheker träumen lassen, 
in welchem Umfang er sich einmal mit 
dem Datenschutz befassen würde.” 
- https://www.deutsche-apotheker- 
zeitung.de/news/artikel/2019/05/ 
27/ein-jahr-dsgvo-verstaerkte- 
kontrollen-geplant - Hatten sie sich 
denn vorher nicht mit dem Datenschutz 
beschäftigt? 

„Wernicke für Überarbeitung der Daten- 
schutzregeln” - https://www.dihk.de/ 
presse/meldungen/ 2019-05-23-dsgvo- 
umfrage - Wer hätte diese Meinung er- 
wartet? 


° „DSGVO, bekannt aber nicht vollstän- 


dig verstanden.” - https://de.statista. 
com/infografik/18136/daten-zu- 
bekanntheit-und-anwendung-der- 
dsgvo/ - Bilder sagen mehr als Worte. 

„Die  Datenschutz-Grundverordnung 
hat die Landschaft in Europa und darü- 
ber hinaus verändert.” - http://europa. 
eu/rapid/press-release_IP-19-2610_ 
de.htm - Auch die EU zieht eine Bilanz. 


+ „Ein Jahr DSGVO - Zwölf Monate, zwölf 


Meinungen” - https://netzpolitik. 
org/2019/ein-jahr-datenschutzgrund 
verordnung-zwoelf-monate-zwoelf- 
meinungen/ - Lesenswert! 

„Die DSGVO ist ein Gewinn für Verbrau- 
cher.“ - https://www.vzbv.de/presse- 
mitteilung/ein-jahr-dsgvo-besserer- 
datenschutz-fuer-verbraucher 
„Handlungsdruck nimmt zu” - https:// 
www.security-insider.de/ein-jahr- 
dsgvo-viel-laerm-um-nichts-a-832854/ 


« „Diemeistenkönneneigentlichganzgut 


leben mit der DSGVO.” - https://www. 
deutschlandfunknova.de/beitrag/ 
datenschutzgrundverordnung-ein- 
jahr-dsgvo 

„Verwirrung und Unsicherheit - ein Jahr 
DSGVO”“ - https://www.handelsblatt. 
com/politik/deutschland/datenschutz- 
verwirrung-und-unsicherheit-ein-jahr- 
dsgvo/24361014.html 
„DSGVO-Hysterie-EinJahmachdemWelt- 
untergang” - https://www.spiegel.de/ 
netzwelt/netzpolitik/dsgvo-mythen- 
aus-dem-ersten-jahr-datenschutz- 
grundverordnung-a-1265926.html 

„Ein Jahr Schreckgespenst DSGVO” - 
https://www.it-business.de/ein-jahr- 
schreckgespenst-dsgvo-a-830523/ 
„Ein Jahr DSGVO: Höhere Datenhygiene 
und mehr Bürokratie” - https:// www. 
digitalbusiness-cloud.de/ein-jahr- 
dsgvo-hoehere-datenhygiene-und- 
mehr-buerokratie - Datenhygiene, das 
ist doch mal ein schönes Wort... 


° „1Jahr DSGVO: So skurril und weltfremd 


läuft es in der Praxis wirklich ab” - 
https://neuhandeln.de/1-jahr-dsgvo- 
so-skurill-und-weltfremd-laeuft-es-in- 
der-praxis-wirklich-ab/ - Ich bin mir 
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nicht sicher, was der Autor uns genau 
sagen will... 

„Kultureinrichtungen haben kaum Pro- 
bleme mit DSGVO” - https://www.mdr. 
de/kultur/datenschutz-grundverord 
nung-kultur-100.html - Echt? 
„Kommentar: Ein Jahr DSGVO - ein 
Grund zum Feiern!” - https://heise. 
de/-4433915 - Peter Schaar bilanziert 
Erfolg 


„Datenschutz im digitalen Zeitalter: 
Umsetzung der Datenschutzgrundver- 
ordnung (DSGVO) - Bilanz ein Jahrnach 
Inkrafttreten Gutachten im Auftrag der 
Fraktion Bündnis 90/Die Grünen im 
DeutschenBundestag -PeterSchaar, Dr. 
Alexander Dix“ - https://www.gruene- 
bundestag.de/fileadmin/media/ 
gruenebundestag_de/themen_az/ 
datenschutz/Gutachten_DSGVO.pdf 


DVD-Presserklärung vom 12.04.2019 


« „Ein Jahr DSGVO: Erfolge und Schwie- 
rigkeiten des neuen Datenschutz- 
rechts” - https://heise.de/-4431402 
- Eine lesenswerte Sammlung. 


Und das ist er, der subjektive Überblick 
über viele Rückblicke. Vielleicht finden 
Sie ja die eine oder andere Quelle interes- 
sant genug, um weiterzulesen. 


Niedersachsen: Datenschutzfreie Regierung? 


Die Deutsche Vereinigung für Daten- 
schutz e. V. (DVD) hat mit größtem Be- 
fremden einen Bundesrats-Antrag der 
Niedersächsischen Landesregierung zur 
Kenntnis genommen, in dem diese for- 
dert, im Interesse der „Entlastung von 
kleinen und mittleren Unternehmen 
von zusätzlichen Bürokratiekosten” 
die Pflicht zur Benennung von Daten- 
schutzbeauftragten aufzuweichen und 
eingetragene Vereine mit überwiegend 
ehrenamtlich Tätigen von dieser Pflicht 
möglicherweise völlig auszunehmen. 
Außerdem sollen die Fristen zur Benach- 
richtigung von Datenschutzverletzun- 
gen verlängert, die Abmahnmöglichkeit 
von Datenschutzverstößen ausgeschlos- 
sen sowie die Nutzung von Echtdaten für 
„Erprobungs- und Testzwecke” generell 
erlaubt werden (BR-Drucksache. 144/19 
vom 03.04.2019). 

Angesichts dieses Antrags stellt sich 
die DVD die Frage, ob die niedersächsi- 
sche Landesregierung bereits im Infor- 
mationszeitalter angekommen ist: Seit 
dem Wirksamwerden der europaweit gel- 
tenden Datenschutz-Grundverordnung 
(DSGVO) im Mai 2018 startet sie einen 
Angriff auf den Datenschutz nach dem 
nächsten: So erließ sie ein Landesda- 
tenschutzrecht, das die hochsensible 
Datenverarbeitung durch Strafverfolger 
von der Datenschutzkontrolle „befreit“, 
was unzweifelhaft gegen deutsches Ver- 
fassungsrecht sowie gegen Europarecht 
verstößt. 

Mit der aktuellen Initiative will die 
Landesregierung das Datenschutzrecht 
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ins vorherige Jahrhundert zurückver- 
setzen. Tatsächlich gilt der derzeit gül- 
tige Vorrang der Selbstkontrolle beim 
Datenschutz in Deutschland schon seit 
Jahrzehnten und hat sich bewährt. Es 
gibt wohl keine mittelständischen Un- 
ternehmen und keine Vereine, die heute 
nicht im Internet präsent sind und min- 
destens deshalb Grundwissen über den 
Datenschutz vorhalten müssen. Wenn 
dort keine Datenschutzbeauftragten be- 
ratend und überwachend tätig werden, 
gibt es erfahrungsgemäß nur selten die 
notwendige Kompetenz. 

Frank Spaeing, Vorsitzender der DVD: 
„Die Pflicht abzuschaffen, Datenschutz- 
beauftragte zu benennen, entlastet die 
KMU und Vereine nur scheinbar. Denn 
keine der diversen Pflichten, die die 
DSGVO (zurecht) Verantwortlichen auf- 
erlegt, wird dadurch wegrationalisiert. 
Einzig die Fachkompetenz, die durch 
Datenschutzbeauftragte üblicherweise 
bei Verantwortlichen Einzug hält, ver- 
schwindet. Zudem gab es die meisten 
Pflichten, die durch die DSGVO jetzt so 
viel Prominenz erfahren haben, schon 
seit vielen Jahren. Nur wurden sie ge- 
flissentlich durch die Verantwortlichen 
ignoriert und auch durch die drastisch 
unterbesetzten Aufsichtsbehörden re- 
gelmäßig nicht im nötigen Umfang ge- 
ahndet. Die Landesregierung schreibt 
im Entwurf zurecht, dass zu viel Rechts- 
unsicherheit besteht. Den Verantwort- 
lichen nun auch noch die Kompetenz, 
die sie durch Datenschutzbeauftragte 
bekommen können, wegzunehmen, ist 


aber der falsche Weg. Besser wäre es, die 
Aufsichtsbehörden so auszustatten, dass 
sie wirksam in der Breite unterstützen 
können.” 

Riko Pieper, stellvertretender Vor- 
standsvorsitzender der DVD: „Die Benen- 
nung eines Datenschutzbeauftragten ist 
nicht Bürokratie, sondern Selbstschutz. 
Diese Aufgabe kann von einem Mitarbei- 
ter oder einem Ehrenamtlichen wahrge- 
nommen werden; die nötigen Kompeten- 
zen können im Rahmen von ohnehin nö- 
tigen Fortbildungen erworben werden. 
Ohne sie begibt sich ein Vorstand oder 
eine Unternehmensleitung in ein unkal- 
kulierbares Existenzrisiko.” 

Werner Hülsmann, stellvertretender 
Vorstandsvorsitzender der DVD, ergänzt: 
„Der Niedersachsen-Antrag zeugt von 
einer erschreckenden Grundrechte-Ig- 
noranz der aktuellen Landesregierung. 
Sie hat offenbar noch nicht gemerkt, 
dass angesichts der zunehmenden Di- 
gitalisierung in Verwaltung, Wirtschaft 
und im Alltag Schutzvorkehrungen ge- 
troffen werden müssen. Diese sind im 
bestehenden Datenschutzrecht vorgese- 
hen und erweisen sich weltweit als Vor- 
bild. Die Landesregierung will offenbar, 
dass Deutschland bei der Digitalisierung 
weiter den Anschluss verliert. Dazu darf 
man es nicht kommen lassen. Nur wenn 
die Bevölkerung darauf vertrauen kann, 
dass ihre Daten bei den Unternehmen 
in guten Händen sind - und dazu ist die 
Umsetzung des Datenschutzes erforder- 
lich, ist eine ausreichende Akzeptanz der 
Digitalisierung zu erwarten.” 
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Offener Brief des Vereins European Digital Rights’ vom 
15.05.2019 an die Europäische Kommission? 


Dear Vice-President Andrus Ansip 

Dear Commissioner Mariya Gabriel, 

Dear Commissioner Vera Jourovaä, 

Dear Chair ofthe European Data Protec- 
tion Board Andrea Jelinek, 

Dear Chair of the Body of European 
Regulators for Electronic Communica- 
tions Jeremy Godfrey, 

Dear European Data Protection Supervi- 
sor Giovanni Buttarelli, 


CC: 

Head of Cabinet of Commissioner Gabri- 
elLora Borissova 

Deputy Head of Cabinet ofCommissioner 
Gabriel Carl-Christian Buhr 
Wolf-Dietrich Grussmann, DG Connect 
Agnieszka Bielinska, DG Connect 

Irene Roche-Laguna, DG Connect 

Eric Gaudillat, DG Connect 

National Regulatory Authorities and 
Data Protection Authorities ofthe EEA 


We are writing you in the context 
of the evaluation of Regulation (EU) 
2015/2120 and the reform of the BE- 
REC Guidelines on its implementation. 
Specifically, we are concerned because 
ofthe increased use of Deep Packet Ins- 
pection (DPI) technology by providers of 
internet access services (IAS). DPlis a 
technology that examines data packets 
that are transmitted in a given network 
beyond what would be necessary for the 
provision IAS by looking at specific con- 
tent from the part of the user-defined 
payload ofthe transmission. 

IAS providers are increasingly using 
DPI technology for the purpose oftraffic 
management and the differentiated pri- 
cing of specific applications or services 
(e.g. zero-rating) as part of their pro- 
duct design. DPI allows IAS providers to 
identify and distinquish traffic in their 
networks in order to identify traffic of 
specific applications or services for the 
purpose such as billing them different- 
ly throttling or prioritising them over 
other traffic. 

The undersigned would like to recall 
the concerning practice of examining 
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domain names or the addresses (URLs) 
of visited websites and other internet 
resources. The evaluation of these ty- 
pes of data can reveal sensitive infor- 
mation about a user, such as preferred 
news publications, interest in specific 
health conditions, sexual preferen- 
ces, or religious beliefs. URLs directly 
identify specific resources on the world 
wide web (e.g. a specific image, a spe- 
cific article in an encyclopedia, a speci- 


fic segment ofa video stream, etc.) and 
give direct information on the content 
ofa transmission. 

A mapping of differential pricing pro- 
ductsin the EEA conducted in 2018 iden- 
tified 186 such products which potenti- 
ally make use of DPI technology. Among 
those, several ofthese products by mobi- 
le operators with large market shares are 
confirmed to rely on DPI because their 
products offer providers of applications 


QERRi 


Dear Vice-President Andrus Ansip 
Dear Commissioner Mariya Gabriel, 
Dear Commissioner Vera Jourova, 


Godfrey, 


CC: 


Wolf-Dietrich Grussmann, DG Connect 
Agnieszka Bielinska, DG Connect 

rene Roche-Laguna, DG Connect 

Eric Gaudillat, DG Connect 


Brussels, 15 May 2019 


Dear Chair ofthe European Data Protection Board Andrea Jelinek, 
Dear Chair of the Body of European Regulators for Electronic Communications Jeremy 


Dear European Data Protection Supervisor Giovanni Buttarelli, 


Head of Cabinet of Commissioner Gabriel Lora Borissova 
Deputy Head of Cabinet of Commissioner Gabriel Carl-Christian Buhr 


National Regulatory Authorities and Data Protection Authorities of the EEA 


We are writing you in the context of the evaluation of Regulation (EU) 2015/2120 and the 
reform of the BEREC Guidelines on its implementation. Specifically, we are concerned 


because of the increased use of Deep Packet Inspection (DPI) technology by providers of 
internet access services [IAS). DPI is a technology that examines data packets that are 
ransmitted in a given network beyond what would be necessary for the provision IAS by 
ooking at specific content from the part of the user-defined payload of the transmission. 


AS providers are increasingly using DPI technology for the purpose of traffic management 
and the differentiated pricing of specific applications or services (e.g. zero-rating] as part of 
heir product design. DPI allows IAS providers to identify and distinguish traffic in their 
networks in order to identify traffic of specific applications or services for the purpose such 
as billing them differently throttling or prioritising them over other traffic. 


The undersigned would like to recall the concerning practice of examining domain names 
or the addresses (URLs) of visited websites and other internet resources. The evaluation of 
hese types of data can reveal sensitive information about a user, such as preferred news 
publications, interest in specific health conditions, sexual preferences, or religious beliefs. 
URLs directly identify specific resources on the world wide web (e.g. a specific image, a 


specific article in an encyclopedia, a specific segment of a video stream, etc.) and give 
direct information on the content of a transmission. 
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or servicesthe option ofidentifying their 
traffic via criteriasuch as Domain names, 
SNI, URLs or DNS snooping. 

Currently, the BEREC Guidelines clearly 
state that traffic management based on 
the monitoring of domain names and 
URLs (as implied by the phrase “trans- 
port protocol layer payload”) is not ”re- 
asonable traffic management” under the 
Regulation. However, this clear rule has 
been mostly ignored by IAS providers in 
their treatment oftraffic. 

The nature of DPI necessitates tele- 
com expertise as well as expertise in 
data protection issues. Yet, we observe 
a lack of cooperation between national 
regulatory authorities for electronic 
communications and regulatory autho- 


rities for data protection on this issue, 
both in the decisions put forward on 
these products as well as cooperation on 
joint opinions on the question in gene- 
ral. For example, some regulators issue 
justifications of DPI based on the con- 
sent ofthe customer ofthe IAS provider 
which crucially ignores the clear ban 
of DPI in the BEREC Guidelines and the 
processing ofthe data ofthe other par- 
ty communicating with the subscriber, 
which never gave consent. 

Given the scale and sensitivity ofthe 
issue, we urge the Commission and 
BEREC to carefully consider the use of 
DPI technologies and their data pro- 
tection impact in the ongoing reform 
of the net neutrality Regulation and 


QERRi 


A mapping of differential pricing products in the EEA conducted in 2018 identified 186 such 


products which potentially make use of DPI 
products by mobile operators with large m 


technology.' Among those, several of these 
arket shares are confirmed to rely on DPI 


because their products offer providers of applications or services the option of identifying 
their traffic via criteria such as Domain names, SNI, URLs or DNS snooping.? 


Currently, the BEREC Guidelines? clearly state that traffic management based on the 
monitoring of domain names and URLs las implied by the phrase "transport protocol layer 
payload”) is not “reasonable traffic management” under the Regulation. However, this clear 


rule has been mostly ignored by IAS providers 


in their treatment of traffic. 


The nature of DPI necessitates telecom expertise as well as expertise in data protection 
issues. Yet, we observe a lack of cooperation between national regulatory authorities for 


electronic communications and regulatory au 
in the decisions put forward on these produc 


horities for data protection on this issue, both 
s as well as cooperation on joint opinions on 


the question in general. For example, some regulators issue justifications of DPI based on 
the consent of the customer of the IAS provider which crucially ignores the clear ban of DPI 
in the BEREC Guidelines and the processing of the data of the other party communicating 
with the subscriber, which never gave consent. 


Given the scale and sensitivity of the issue, we urge the Commission and BEREC to 
carefully consider the use of DPI technologies and their data protection impact in the 
ongoing reform of the net neutrality Regulation and the Guidelines. In addition, we 
recommend to the Commission and BEREC to explore an interpretation of the 
proportionality requirement included in Article 3, paragraph 3 of Regulation 2015/2120 in 
line with the data minimization principle established by the GDPR. Finally, we suggest to 
mandate the European Data Protection Board to produce quidelines on the use of DPI by 
IAS providers. 


Best regards, 


Academics and Individuals: 


Kai Rannenberg, Chair of Mobile Business & Multilateral Security, Goethe University 
Frankfurt, Germany 

Stefan Katzenbeisser, Chair of Computer Engineering, University of Passau, Germany 

Max Schrems, Privacy Activist, Austria 

Klaus-Peter Löhr, Professor für Informatik [a.D.), Freie Universität Berlin, Germany 
Joachim Posegga, Chair of IT-Security, University of Passau, Germany 

Dominik Herrmann, Chair for Privacy and Security in Information Systems, University of 
Bamberg, Germany 

Rigo Wenning, AFS Rechtsanwälte, ERCIM Legal counsel, Vorstand EDV-Gerichtstag, Fitug 


1 See https://epicenter.works/document/1522 page 19-21, 34-35 and 38-40. 


2 ch 
3 BoR (16) 127, paragraphs 69 and 70, 
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the Guidelines. In addition, we recom- 
mend to the Commission and BEREC to 
explore an interpretation of the pro- 
portionality requirement included in 
Article 3, paragraph 3 of Regulation 
2015/2120 in line with the data mini- 
mization principle established by the 
GDPR. Finally, we suggest to mandate 
the European Data Protection Board to 
produce guidelines on the use of DPI 
by IAS providers. 


Best regards, 


Academics and Individuals: 

Kai Rannenberg, Chair of Mobile Busi- 
ness & Multilateral Security, Goethe 
University Frankfurt, Germany Stefan 
Katzenbeisser, Chair of Computer Engi- 
neering, University of Passau, Germany 
Max Schrems, Privacy Activist, Austria 
Klaus-Peter Löhr, Professor für Infor- 
matik (a.D.), Freie Universität Berlin, 
Germany Joachim Posegga, Chair of IT- 
Security, University of Passau, Germany 
Dominik Herrmann, Chair for Privacy 
and Security in Information Systems, 
University of Bamberg, Germany Rigo 
Wenning, AFS Rechtsanwälte, ERCIM 
Legal counsel, Vorstand EDV-Gerichts- 
tag, Fitug e.V., France Douwe Korff, 
Emeritus Professor of International Law, 
London Metropolitan University, United 
Kingdom Dr. TJ McIntyre, UCD Suther- 
land School of Law, United Kingdom 
Dr Ian Brown, Senior Fellow, Research 
ICT Africa / CyberBRICS visiting pro- 
fessor, Fundacäo Getülio Vargas Direi- 
to Rio, Brazil Dr. Jef Ausloos (Institute 
for Information Law (IViR) -University 
of Amsterdam), the Netherlands Paddy 
Leersen LL.M., PhD Candidate Universi- 
ty of Amsterdam, Non-Residential Fel- 
low Stanford University Center for Inter- 
net & Society, the Netherlands Simone 
Fischer Hübner, Professor in Computer 
Science, Karlstad University, Sweden 
Erich Schweighofer, Head of the Centre 
for Computers and Law, Department of 
European, International and Compara- 
tive Law, University of Vienna, Austria 
Prof. Dr.-Ing. Christoph Sorge, Saarland 
University, Germany Frederik J. Zuider- 
veen Borgesius, Professor of Law at iCIS 
Institute for Computing and Informati- 
on Sciences, Radboud University 


8 


NGOs and NPOs: 

European Digital Rights, Europe Elec- 
tronic Frontier Foundation, Internati- 
onal Council of European Professional 
Informatics Societies, Europe Article 
19, International Chaos Computer Club 
e.V, Germany epicenter.works -for di- 
gital rights, Austria Austrian Computer 
Society (OCG), Austria Bits of Freedom, 
the Netherlands La Quadrature du Net, 
France ApTI, Romania Code4Romania, 
Romania IT-Pol, Denmark Homo Digita- 
lis, Greece Hermes Center, Italy X-net, 
Spain Vrijschrift, the Netherlands Data- 
skydd.net, Sweden Electronic Frontier 
Norway (EFN), Norway Alternatif Bilisim 
(Alternative Informatics Association), 
Turkey Digitalcourage, Germany Fitug 
e.V., Germany Digitale Freiheit, Germany 
Deutsche Vereinigung für Datenschutz 
e.V. (DVD), Germany Gesellschaft für In- 
formatik e.V. (GI), Germany LOAD e.V. 
-Verein für liberale Netzpolitik, Germany 


Companies: 

Wire Swiss GmbH, Switzerland, Alan Du- 
ric, CTO/COO & Co-Founder Research 
Institute -Digital Human Rights Center, 
Austria Federation des Fournisseurs 
d’Acc&s Internet Associatifs, France 
Baycloud Systems, United Kingdom, 
Mike O’Neill, Director 


Übersetzung durch Markus Eßfeld 
und Frank Spaeing 


Diesen Brief schreiben wir’ mit dem 
Ziel einer Bewertung der Verordnung 
(EU) 2015/2120 über Maßnahmen be- 
treffend den Zugang zum offenen In- 
ternet und einer Bewertung der Reform 
der BEREC‘-Guidelines und deren Um- 
setzung. Dabei geht es uns insbesondere 
um die vermehrte Nutzung der sog. Deep 
Packet Inspection (im Folgenden DPI) 
der Anbieter von Internetzugangsdiens- 
ten (im folgenden IAS-Anbieter). DPI ist 
ein Verfahren der Netzwerktechnik, das 
es den Anbietern generell erlaubt Da- 
tenpakete über das Erforderliche hinaus 
zu untersuchen, um damit Erkenntnisse 
über die eigentlichen Nutzdaten der je- 
weiligen Kommunikation zu gewinnen 
und diese ggf. kommerziell zu verwerten. 

DPI wird von IAS-Anbietern zuneh- 
mend eingesetzt, um den Datenverkehr 
in Computernetzwerken zu analysie- 
ren und ein differenziertes Preissys- 
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tem für bestimmte Anwendungen und 
Dienstleistungen? als Teil ihres eigenen 
Produktes einsetzen zu können. DPI 
erlaubt den IAS-Anbietern, den Daten- 
verkehr zu identifizieren und differen- 
ziert betrachten zu können, beispiels- 
weise für die Berechnung bestimmter 
Dienstleistungen, aber auch für die 
Priorisierung und Drosselung einzelner 
Dienste‘. 

Die Unterzeichner dieses Briefes 
möchten auf die verbreitete Praxis der 
Anbieter hinweisen, Domainnamen oder 
die Adressen (URL) von besuchten Web- 
sites oder anderen Internetquellen zu 
analysieren. Die Auswertung dieser Da- 
ten kann besonders vertrauliche Infor- 
mationen über einen bestimmten Nutzer 
enthüllen wie beispielsweise darüber, 
welche Nachrichtenquellen er bevor- 
zugt, für welche medizinischen Fragen er 
sich besonders interessiert. Ferner sind 
Rückschlüsse möglich auf sexuelle Vor- 
lieben oder religiöse Orientierungen. Mit 
Hilfe der URL können Internetquellen 
identifiziert werden’ und direkte Infor- 
mationen über den Inhalt einer Daten- 
übertragung gegeben werden. 

Eine im Jahr 2018 durchgeführte 
Untersuchung im Europäischen Wirt- 
schaftsraum (EEA) identifizierte 186 
Produkte, bei denen die DPI-Technik 
potentiell eingesetzt wird®. Darunter 
befanden sich zahlreiche Produkte 
von großen Mobilfunkbetreibern, die 
mit DPI arbeiten, weil ihr Angebot für 
Dienste- und Serviceprovider Anwen- 
dungen und Dienstleistungen zum 
identifizieren ihres eigenen Daten- 
verkehrs mit Hilfe von Kriterien wie 
Domainnamen, SNI®, URLs oder DNS- 
Snooping'’ umfasst. 

Gegenwärtig legen die BEREC11-Gui- 
delines’? fest, dass das Monitoring des 
Datenverkehrs über Domainnamen und 
URLs"? keine angemessene Abwicklung 
des Datenverkehrs'* darstellt’. Diese 
klare Regelung wird von den IAS-Provi- 
dern jedoch überwiegend beim Umgang 
mit Datenverkehr ignoriert. 

Die Beurteilung der DPI-Technik er- 
fordert sowohl Sachverstand auf dem 
Gebiet der Telekommunikation als 
auch hinsichtlich des Datenschutzes. 
Allerdings kann man einen Mangel an 
Kooperation, soweit es um DPI geht, 
zwischen den jeweiligen nationalen 
Regulierungsbehörden für Telekommu- 


nikation und denjenigen für den Da- 
tenschutz feststellen. Das betrifft so- 
wohl die Auseinandersetzung mit den 
Anbietern bei Verwendung von DPI als 
auch eine Kooperation der genannten 
Regelungsbehörden für eine gemeinsa- 
me Haltung zu der Frage im Allgemei- 
nen. Beispielsweise halten einige Re- 
gulierungsbehörden die Verwendung 
von DPI für zulässig, wenn der Kunde 
des IAS-Anbieters dieser zugestimmt 
habe. Diese Auffassung ignoriert das 
klare Verbot der DPI gemäß den BEREC- 
Guidelines. Außerdem wird ignoriert, 
dass der Datenverkehr des Kunden ei- 
nes IAS-Anbieters einen Dritten einbe- 
ziehen kann, der nie eine Zustimmung 
zur Nutzung der DPI erteilt hat. 

Wegen der Bedeutung des Themas und 
der besonderen Vertraulichkeit, die der 
Datenverkehr genießen sollte, möch- 
ten wir die EU-Kommission und BEREC 
dringend bitten, den Gebrauch von DPI 
Technik und deren Auswirkung auf den 
Datenschutz sorgfältig zu erwägen, was 
vor allem im Zusammenhang mit der ak- 
tuellen Reform der Netzneutralität'®und 
der Guidelines von Bedeutung ist. Darü- 
ber hinaus empfehlen wir der EU-Kom- 
mission und BEREC die Auslegung des 
Angemessenheits- bzw. Verhältnismä- 
Rigkeitserfordernisses in Art. 3, Abs. 3 
der EU-Verordnung 2015/2120 sorgfäl- 
tig zu erwägen und im Zusammenhang 
mit dem Grundsatz der Datensparsam- 
keit zu lesen, wie erin der Datenschutz- 
Grundverordnung festgeschrieben ist. 
Abschließend schlagen wir vor, dem 
Europäischen Datenschutzausschuss 
das Mandat für die Formulierung von 
Guidelines zur Nutzung der DPI durch 
IAS-Anbieter zu erteilen. 


1 Internationaler gemeinnütziger Verein 
nach belgischem Recht, im Folgenden 
EDRi 


2 Imenglischen Original sind als Adres- 
saten div. Kommissionsmitglieder u.a. 
Adressaten namentlich aufgeführt, siehe 
vorherigen Abdruck in dieser DANA, 
diese sind in der vorliegenden Überset- 
zung genauso weggelassen worden wie 
die unterzeichnenden Personen und 
Organisationen. 


3 Presserechtlich verantwortlich für den 
Briefist EDRi, unterzeichnet ist ervon 
zahlreichen natürlichen und juristischen 
Personen, die mit der Materie befasst sind 
und sich zu diesem Anliegen äußern. 
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4 Body of European Requlators for Electro- 
nic Communication 


5 2Z.B.dassog. „zero-rating” 
6 Was die Netzneutralität einschränkt. 


7 Bis hin zur Identifizierung eines 
bestimmten Bildes, einem bestimmten 
Artikel in einer Enzyklopädie oder einer 
bestimmten Sequenz in einem Video. 


8 Siehe https://epicenter.works/docu- 
ment/1522, Seiten 19-21, 34-35 und 
38-40. 


9 Server Name Indication 


10 Angriffe, bei denen mittels IP-Spoofing 
gefälschte Ressource Records gesendet 
werden. 


11 Body of European Regulators for Electro- 
nic Communication 


12 BoR (16) 127, Absätze 69 und 70. 


13 In den BEREC-Guidelines „transport 
protocol layer payload“ genannt. 


14 „is not reasonable traffic management” 


DVD-Presserklärung vom 04.06.2019 


15 Siehe Artikel 3 (3) der BEREC-Guidelines 


16 Der EU-Verordnung über Maßnahmen 
für den Zugang zum offenen Internet, 
VERORDNUNG (EU) 2015/2120 


#StopSpyingOnUs: Kampagnenstart in 9 EU-Ländern 
gegen rechtswidrige Online-Werbemethoden 


Vierzehn Menschenrechts- und Digital- 
rechtsorganisationen - darunterauch die 
Deutsche Vereinigung für Datenschutz 
e.V. (DVD) - starten heute, koordiniert 
von Liberties!, die Kampagne #StopSpy- 
ingOnUs?, indem sie gleichzeitig in neun 
EU-Ländern bei ihren nationalen Daten- 
schutz-Aufsichtsbehörden Beschwerden 
gegen illegale Verfahren der Verhalten- 
sorientierten Werbung einreichen. Zu 
den Ländern, die an der Kampagne teil- 
nehmen, gehören Deutschland, Belgien, 
Italien, Frankreich, Estland, Bulgarien, 
Ungarn, Slowenien und die Tschechische 
Republik. Dies ist die dritte Welle einer 
Kampagne, die 2018 begann. Die ersten 
Beschwerden wurden bei den britischen 
und irischen? Datenschutzbehörden ein- 
gereicht. 

Frank Spaeing, Vorsitzender der DVD: 
„Mit dieser Kampagne fordern wir die 
nationalen und europäischen Daten- 
schutzbehörden auf, Ermittlungen ge- 
gen einen laufenden, massiven Daten- 
schutzverstoß einzuleiten, der täglich 
hunderte von Milliarden Mal auftritt 
und jede Besucherin und jeden Besu- 
cher einer Website betreffen kann“. 

„In dieser Kampagne werden Organi- 
sationen und Einzelpersonen zusam- 
menarbeiten, um personenbezogene 
Daten zu schützen, die ohne unsere Zu- 
stimmung weitergegeben werden kön- 
nen, dazu gehören Browser-Historieund 
Standort, aber auch sexuelle Orientie- 
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rung und unverwechselbare ID-Codes. 
Die bei den Datenschutzbehörden ein- 
gereichten Beschwerden wenden sich 
vor allem gegen das System des Real- 
Time Bidding, durch welches personen- 
bezogene Daten der Nutzer an Hunderte 
oder Tausende von Unternehmen über- 
tragen werden können. Diese Werbe- 
methode verstößt eindeutig gegen die 
EU-Datenschutz-Grundverordnung (DS- 
GVO). Wir haben uns entschieden, eine 
Kampagne zur Durchsetzung der DSGVO 
zu starten und sagen, #StopSpyingOnUs 
„hört auf uns auszuspionieren”, so die 
Liberties Rechtsexpertin Eva Simon. 

Zusätzlich zu den offiziellen Be- 
schwerden von Menschenrechts- und 
Digitalrechtsorganisationen‘ haben 
Liberties unsere Partner in mehreren 
Sprachen Musterbeschwerden für Per- 
sonen vorbereitet, die sich der Kam- 
pagne #StopSpyingOnUs anschließen 
möchten. In einer Reihe von Ländern 
können Interessierte den Forderungen 
Nachdruck verleihen, indem sie mit ei- 
nem auf Liberties.eu verfügbaren Mus- 
terbrief einfach eine Beschwerde an 
ihre nationalen Datenschutzbehörden 
richten. 

„Wir wollen, dass die Stimme der Men- 
schen gehört wird und deshalb geben 
wir ihnen alle Instrumente an die Hand, 
die sie brauchen, um die Verletzung 
ihrer Rechte im Ökosystem der Online- 
Werbung zu verhindern. Wenn unsere 


persönlichen Daten ohne Erlaubnis wei- 
tergegeben werden, sollten wir sagen 
können, dass uns das nicht passt und in 
der Lage sein dafür zu sorgen, dass das 
aufhört.”, sagt Orsolya Reich, Advocacy 
Officer bei Liberties. 

Diese Online-Werbemethode wird von 
mehreren Schlüsselunternehmen im 
digitalen Bereich, wie z.B. Google, ge- 
nutzt, was dazu führt, dass eine riesige 
Anzahl von Personen diesem Datenaus- 
tausch ausgesetzt ist. So ist beispiels- 
weise Googles DoubleClick (vor Kurzem 
umbenannt in „Authorized Buyers”) 
auf 8,4 Millionen Websites aktiv und 
übermittelt personenbezogene Daten 
über Besucher dieser Websites an über 
2.000 Unternehmen. Deshalb sagen wir, 
#StopSpyingOnUs?, „hört auf uns auszu- 
spionieren”. 


1 https://www.liberties.eu/de 


2 https://www.liberties.eu/de/ 
campaigns/stopspyingonus-fixad-tech- 
kampagne/307 


3 https://fixad.tech/ 


4 Die deutschsprachige Datenschutzbe- 
schwerde finden Sie unter: 
https://www.datenschutzverein.de/wp- 
content/uploads/2019/06/Beschwerde_ 
verhaltensbasierte_Werbung_04062019. 
pdf 


5 https://www.liberties.eu/de/ 
campaigns/stopspyingonus-fixad-tech- 
kampagne/307 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Bundeskartellamt 
geht gegen Datenmacht 
Facebooks vor 


Die deutschen Wettbewerbshüter des 
Bundeskartellamts fordern, dass Face- 
book sein Geschäftsmodell fundamental 
ändert. Der US-Konzern hat demnach 
ein Jahr Zeit, die Datensammlung um- 
zustellen. Facebook soll die Daten aus 
unterschiedlichen Plattformennurnoch 
zusammenführen dürfen, wenn die Nut- 
zenden ausdrücklich zustimmen. Das 
Kartellamt teilte in Bonn am 07.02.2019 
mit, dass es nach einer dreijährigen 
Prüfung zu dem Ergebnis gekommen ist, 
dass der US-Konzern seine Marktmacht 
missbrauche, um Daten seiner Nutzen- 
den zu sammeln. Behördenchef Andreas 
Mundt begründete: „Die Nutzer haben 
keine Wahl, ob sie der Datensammlung 
zustimmen oder nicht.” In Zukunft soll 
Facebook seinen Mitgliedern eine ex- 
plizite Wahl lassen, ob die Daten, die 
auf Facebook.com, anderen Diensten 
wie WhatsApp, Instagram und Websi- 
tes mit integriertem Facebook-Plugin 
gesammelt wurden, wieder unter der 
einheitlichen Facebook-ID zusammen- 
geführt werden dürfen. Es handelt sich 
hier um den ersten Fall, in dem das 2017 
novellierte deutsche Kartellrecht auf ei- 
nen großen Digitalkonzern angewendet 
wird. Das Gesetz gegen Wettbewerbs- 
beschränkungen (GWB) war geändert 
worden, um die Internetökonomie mit 
Firmen wie Google, Uber oder Amazon 
zu erfassen, bei der KundInnen nicht 
(nur) mit Geld, sondern insbesondere 
mit ihren Daten bezahlen. 

Das Kartellamt geht davon aus, dass 
Facebook den Markt sozialer Netzwerke 
beherrscht. Mit 23 Mio. Nutzenden täg- 
lich komme der Konzern in Deutschland 
auf einen Marktanteil von 95%. Andere 
soziale Netzwerke wie LinkedIn, Xing 
oder YouTube befriedigten andere Be- 
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dürfnisse und seien deshalb insofern 
nicht relevant. 40 bis 60 Mio. Menschen 
nutzen nach Angaben des Kartellamtes 
hierzulande täglich Whatsapp, bei der 
Fotoplattform Instagram sind es dem- 
nach 10 bis 20 Mio. täglich Nutzende. 
Facebook soll innerhalb von vier Mona- 
ten ein Konzept vorlegen, wie es künftig 
bei der Zusammenführung von Daten 
vorgehen wolle. Innerhalb eines Jahres 
soll das neue Regime dann umgesetzt 
sein. Mundt zeigte sich zunächst opti- 
mistisch, dass Facebook sich der Ent- 
scheidung seiner Behörde beugen wer- 
de: „Ich bin sicher, dass sich viele Wett- 
bewerbsbehörden dieses Verfahren sehr 
genau ansehen werden.” Zudem könne 
seine Behörde Bußgelder bis zu zehn 
Millionen Euro verhängen, die auch mo- 
natlich verhängt werden könnten, wenn 
sich Facebook dauerhaft weigere den 
Vorgaben der Behörde nachzukommen. 

Der Behördenchef sparte nicht mit 
Kritik am Geschäftsmodell von Face- 
book sowie anderer Internetunterneh- 
men: „Diese Unternehmen überziehen 
uns mit einer neuen wirtschaftlichen 
Ordnung.” Über Lock-In- und Netzwerk- 
Effekte habe Facebook in den vergan- 
genen Jahren einen gewaltigen Daten- 
schatz angehäuft, der den Nutzenden 
keine Wahllasse, den Facebook-Account 
stillzulegen, ohne eine Einschränkung 
wahrzunehmen. 

Bei seiner Entscheidung stützt sich 
das Bundeskartellamt im Wesentlichen 
auch auf die Datenschutz-Grundver- 
ordnung (DSGVO). Die Behörde konnte 
keine Rechtfertigung finden, warum 
Facebook in dem heutigen Ausmaß Nut- 
zerdaten sammeln könne. Mundt wehrte 
sich dabei gegen den Vorwurf, dass die 
Wettbewerbsbehörde ihre Kompetenzen 
überschreite: „Wie bitte soll ein Daten- 
schützer prüfen, ob eine Einwilligung 
freiwillig ist oder nicht freiwillig ist, 
weil das Unternehmen marktbeherr- 
schend ist?” 

Facebook kündigte an, gegen die 
Entscheidung Rechtsmittel einzule- 


gen. Sollte das Oberlandesgericht Düs- 
seldorf eine einstweilige Verfügung 
zugunsten von Facebook verhängen, 
würden die Auflagen des Kartellamtes 
zunächst nicht wirksam werden. Das 
Unternehmen warf der Behörde vor, die 
marktbeherrschende Stellung falsch 
diagnostiziert zu haben: „Wir haben in 
Deutschland einen harten Wettbewerb 
mit anderen Diensten, doch das Bun- 
deskartellamt hält es für irrelevant, 
dass unsere Apps mit YouTube, Snap- 
chat, Twitter und vielen anderen Wett- 
bewerbern um die Aufmerksamkeit der 
Nutzer konkurrieren”. Dies wurde vom 
Bundeskartellamt zurückgewiesen: „Es 
gibt kein soziales Netzwerk, das Face- 
book auch nur nahe kommt.” Damit ste- 
he Facebook auch in der Pflicht, seine 
Angebote nicht unter unangemessenen 
Konditionen anzubieten. Angesichts 
der umfassenden Datenprofile sei dies 
aber nicht gewährleistet. Berichte über 
nachlassende Facebook-Nutzung könne 
seine Behörde nicht bestätigen. 
Facebook argumentiert außerdem, es 
sei durchaus im Sinne der Nutzenden, 
Daten zu sammeln, um den Missbrauch 
von Nutzerkonten zu verhindern, z. B. 
für „Terrorismus, Kindesmissbrauch 
oder die Manipulation von Wahlen”. Tat- 
sächlich gesteht das Kartellamt zu, dass 
Facebook in drängenden Sicherheitsfra- 
gen auch künftig Daten seiner Diens- 
te zusammenführen dürfe. Facebook 
macht geltend, dass das Kartellamt sein 
Mandat überschreitet. Für den Daten- 
schutz des Unternehmens sei die irische 
Datenschutzbehörde zuständig, da der 
Konzern seine Europazentrale in Dublin 
hat. Die Iren gehen erfahrungsgemäß 
mit Facebook freundlicher um als die 
Aufsichtsbehörden auf dem Festland. 
Mundt erwiderte, ihm gehe es nicht um- 
fassend um den Datenschutz, sondern 
nur, soweit bei Verstößen die Markt- 
macht missbraucht wird. Das Kartellamt 
habe jedenfalls intensiv mit ausländi- 
schen Datenschutzbehörden zusam- 
mengearbeitet: „Da gab es keinerlei Wi- 
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derstand.” So begrüßte auch der neue 
Bundesdatenschutzbeauftragte Ulrich 
Kelber die Kartellentscheidung. 

Der Behauptung Facebooks, es hal- 
te sich an die DSVGO, akzeptiert das 
Bundeskartellamt nicht. Zwar könnten 
Nutzende inzwischen in den Facebook- 
Einstellungen personalisierte Werbung 
deaktivieren; dies ändere jedoch nichts 
an der umfassenden Datenerhebung. 
Etwa ein Drittel der mehr als 300-seiti- 
gen Entscheidung des Bundeskartell- 
amts befasst sich mit den Details des Da- 
tenschutzrechts. Mit einer Pro-Forma- 
Zustimmung, die an die unbeschränkte 
Nutzung der Plattform gekoppelt ist, 
will es das Bundeskartellamt nicht be- 
wenden lassen. Das Unternehmen müs- 
se in seinem Konzept darlegen, in wel- 
cher Form es die Zustimmung künftig 
erheben werde. 

Der Vorstand des Verbraucherzentrale 
Bundesverbands, Klaus Müller, begrüß- 
te dieEntscheidung: „Der Datensammel- 
wut des Unternehmens wird nun zum 
Schutz von Verbraucherinnen und Ver- 
brauchern auch mit Mitteln des Kartell- 
rechts begegnet.” Der Digitalverband 
Bitkom kritisierte hingegen, dass die 
Regulierung von Facebook negative Fol- 
gen für kleine Firmen und Verlage haben 
könnte, denn sie profitierten vom „Ge- 
fällt-mir-Button“ (Kleinz, Bundeskar- 
tellamt: Facebook soll angehäufte Daten 
entbündeln, www.heise.de 07.02.2019, 
Kurzlink: https://heise.de/-4300461; 
Brühl/Müller, Kartellamt bremst Face- 
book, SZ 08.02.2019, 1; Müller, Bonner 
Brandmauer, SZ 08.02.2019, 2). 


Bund 


BND soll mehr Befugnisse 
erhalten 


Gemäß einem Referentenentwurf 
aus dem Kanzleramt und dem Bundes- 
innenministerium soll der deutsche 
Auslandsgeheimdienst, der Bundes- 
nachrichtendienst (BND), künftig zu- 
sätzliche Befugnisse erhalten, z. B. 
Handys von Deutschen ausspähen und 
V-Leute vor der Staatsanwaltschaft 
schützen. Seit März 2019 diskutieren 
die Koalitionspartner von Union und 
SPD einen Gesetzentwurf, wonach der 
BND auch im Inland eine stärkere Rol- 
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le spielen soll. Der BND soll künftig 
„informationstechnische Systeme” 
von natürlichen und juristischen Per- 
sonen auch im Inland infiltrieren und 
ausforschen dürfen. Voraussetzung 
ist, dass eine solche Ausforschung mit 
Trojanersoftware der „Erkennung und 
Begegnung” von bestimmten Gefahren 
und Straftaten „dient“. Diese Gefahren 
und Straftaten werden im Einzelnen 
aufgelistet. Dabei geht es um Terroris- 
mus, Menschenschmuggel, aber auch 
um Bedrohungen für die IT-Sicherheit. 
Dies wird von dem Mainzer Rechtspro- 
fessor Matthias Bäcker kritisiert: „Das 
kann viel bedeuten.” Da der BND keinen 
konkreten Anfangsverdacht vorweisen 
müsse, sei die Schwelle für den Einsatz 
des BND-Trojaners recht niedrig - nied- 
riger als bei der Polizei. Im Ausland und 
gegenüber Ausländern soll der BND 
Online-Durchsuchungen frei einsetzen 
können, um „Erkenntnisse von außen- 
und sicherheitspolitischer Bedeutung 
zu gewinnen”. 

Nach den Plänen der Bundesregierung 
soll die Trennung zwischen Polizei und 
Geheimdiensten weiter aufgeweicht 
werden. So soll der BND künftig für die 
deutschen Landespolizeien „verstetigte 
Amtshilfe” bei Online-Durchsuchun- 
gen leisten: „Die ersuchende Behörde 
trägt gegenüber dem Bundesnachrich- 
tendienst die Verantwortung für die 
Rechtmäßigkeit der durchzuführenden 
Maßnahme“, so der Gesetzentwurf. Der 
BND soll dabei nur die technische Aus- 
führung übernehmen. Er soll die ge- 
wonnenen Daten an die Polizei weiter- 
reichen, ohne selbst von ihnen Kenntnis 
zu nehmen. Wenn es aber zum Beispiel 
um internationalen Terrorismus geht, 
für den der BND selbst mit zuständig ist, 
soll der BND die Daten „für eigene Zwe- 
cke weiterverarbeiten” dürfen. Matthi- 
as Bäcker: „Die polizeiliche Tätigkeit ist 
ohnehin stärker der nachrichtendienst- 
lichen Tätigkeit angeglichen worden 
in den vergangenen Jahrzehnten. Nun 
lässt man gleich die Fachleute ran.” 

V-Leuten, also Informanten für den 
BND, die z. B. für ein russisches Staats- 
unternehmen oder die iranische Bot- 
schaft in Deutschland arbeiten, für 
Waffenschieber oder internationale 
Finanziers bei dunklen Geschäfte, soll 
der BND bessere Anreize bieten kön- 
nen: Bislang durfte der BND nicht viel 


bezahlen. Die Vorgabe lautete, dass der 
Lohn für V-Leute („angebahnte und ge- 
führte Personen“ im BND-Jargon) nie 
so hoch sein durfte, dass er den größ- 
ten Teil des Einkommens ausmacht. 
Der Grund: Wenn die Existenz eines 
Menschen davon abhängt, dass er dem 
Dienst immer wieder interessante Dinge 
zu erzählen weiß, dann wächst die Ver- 
suchung, irgendwann auch Geschichten 
zu erfinden. Das war eine Lehre aus dem 
NSU-Debakel. Nun soll diese Vorga- 
be gelockert werden. Der BND soll frei 
sein zu bezahlen, was er möchte. Zur 
Begründung heißt es, in wirtschaftlich 
ärmeren Krisenländern seien auch 50 
Euro im Monat schnell mal ein Professo- 
rengehalt. 

Zudem sollen Kriminelle, die dem 
BND Informationen zustecken, künftig 
stärkeren Schutz vor Strafverfolgung 
erwarten können. Wenn der BND mitbe- 
kommt, dass seine V-Leute in Deutsch- 
land Straftaten begehen, dann soll er 
dies nicht zwingend anzeigen müssen. 
Stattdessen darf darüber „die Amtslei- 
tung“ des BND frei entscheiden. Be- 
kommt die V-Person dennoch Ärger mit 
Polizei oder Staatsanwaltschaft, kann 
sich der BND auch schützend vor sie 
stellen. Bislang lautete das Prinzip: Die 
Staatsanwaltschaft „kann“ bei V-Leuten 
des BND von einer Verfolgung abse- 
hen, vorausgesetzt, die Tat wiegt nicht 
zu schwer. Künftig soll es heißen: Die 
Staatsanwaltschaft „soll“ von der Ver- 
folgung absehen. Der an der Universität 
Köln lehrende Nachrichtendienstrecht- 
ler Nikolaos Gazeas kommentiert: „Das 
heißt, es wird in aller Regel ein Deckel 
draufgemacht.” Der BND könne dann 
künftig fast immer mit Erfolg bei der 
Justiz intervenieren. Der BND-Präsident 
soll schließlich im Einzelfall auch verur- 
teilte Verbrecher als V-Leute anwerben 
können, solange die Tat nicht Mord, Tot- 
schlag oder ein anderes Tötungsdelikt 
war. Hier übernähme der BND den recht- 
lichen Standard für V-Leute, der bisher 
schon beim Verfassungsschutz gilt. 

Im Koalitionsvertrag von Union und 
SPD steht, dass jede Ausweitung von 
Geheimdienstbefugnissen auch eine 
„entsprechende Ausweitung der parla- 
mentarischen Kontrolle“ erfordert. In 
dem vorgelegten Gesetzentwurf findet 
sich dazu nichts (Steinke, Macht hinter 
Mauern, SZ 30./31.03.2019, 7; siehe 
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dazu auch den Artikel von Krempl, See- 
hofers Geheimdienstgesetz: Die Abriss- 
birne für die Grundrechte, www.heise. 
de 19.04.2019, Kurzlink: https://heise. 
de/-4401986). 


Bund 


TKG-Änderung geplant für 
sichereres 5G 


Angesichts der Sicherheitsdebatte 
über den Netzausbau bei der neuen Mo- 
bilfunkgeneration 5G und den chinesi- 
schen Netzausrüster Huawei plant die 
Bundesregierung eine Änderung des 
Telekommunikationsgesetzes (TKG). 
Innenminister Horst Seehofer (CSU) 
kündigte in einem Gespräch mit Innen- 
politikern der Regierungskoalition am 
12.02.2019 in Berlin an, dass der & 109 
TKG geändert werden soll. Damit wolle 
die Regierung aber nicht Huawei vom 
Markt fernhalten; es gehe um bessere 
Kontrolle. Demnach sollen künftig die 
Lieferanten der Netzbetreiber ihre Pro- 
dukte unter Sicherheitsaspekten zertifi- 
zieren lassen und Sicherheitsgarantien 
abgeben. Diese Auflagen würden dann 
für alle gelten. In 8 109 TKG werden Auf- 
lagen für Netzbetreiber und andere An- 
bieter von Telekommunikationsdiensten 
aufgeführt. Die Unternehmen müssen 
unter anderem dafür sorgen, dass ihre 
Netze und Dienste gegen Missbrauch und 
Störungen angemessen gesichert sind, 
um etwa das Fernmeldegeheimnis und 
sensible Daten zu schützen. 

Huawei ist weltweit Marktführer bei 
der Mobilfunktechnik. Die Produkte des 
chinesischen Herstellers werden von 
nahezu allen westlichen Netzbetreibern 
eingesetzt. Im Hinblick auf den Netz- 
ausbau mit 5G wächst bei Regierungen 
die Sorge, dass die Technik von Huawei 
ein Sicherheitsrisiko für eine kritische 
Infrastruktur bedeutet. Das chinesi- 
sche Nachrichtendienstgesetz könnte 
Huawei dazu zwingen, sensible Infor- 
mationen mit dem Geheimdienst zu 
teilen. Bisher ist nicht bekannt, ob das 
schon einmal vorgekommen ist. Auch 
Spekulationen über mögliche Hintertü- 
ren oder „Kill-Switches” in der Huawei- 
Technik entbehrten bisher jeden Nach- 
weises. Huawei weist alle Vorwürfe zu- 
rück. Vor einem Beschluss zur Änderung 
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des deutschen TKG soll mit den betroffe- 
nen Unternehmen gesprochen werden. 
Dabei gehe es um Kosten, Machbarkeit 
und Sicherheitsvorkehrungen. Das Ge- 
setz ist nicht schon zur 5G-Auktion an- 
wendbar, die seit März 2019 stattfindet. 
Die US-Regierung hatte in den voran- 
gegangenen Monaten bei befreundeten 
Regierungen darauf gedrungen, beim 
5G-Ausbau auf Huawei zu verzichten. 
Die großen US-Netzbetreiber setzen 
die chinesische Technik nicht ein. Vie- 
le kleinere, regionale US-Carrier haben 
ihre Netze aber mit Komponenten von 
Huawei oder ZTE gebaut. Sie würde ein 
Bann für chinesische Technik hart tref- 
fen. US-Präsident Donald Trump will 
eine entsprechende Verordnung erlas- 
sen. Aufgrund dieser Verordnung müss- 
te das Handelsministerium amerikani- 
schen Unternehmen den Einkauf von 
Netztechnik untersagen, die ein Sicher- 
heitsrisiko darstellt (Briegleb, Seeho- 
fer will wegen Huawei das TKG ändern, 
www.heise.de 12.02.2019, Kurzlink: 
https://heise.de/-4307334). 


Bund 


Schutz von Geschäfts- 
geheimnissen und 
Whistleblowing 


Ohne Aussprache billigte der Bun- 
desrat am 12.04.2019 nach dem Bun- 
destag im März abschließend einen 
Gesetzentwurf, mit dem die Politik eine 
EU-Richtlinie von 2016 zum Schutzvon 
Geschäftsgeheimnissen in nationales 
Recht umsetzen will. Für Geschäfts- 
geheimnisse, die etwa durch „eigen- 
ständige Entdeckung oder Schöpfung” 
erlangt werden können, gilt dann ein 
einheitlicher Mindestschutz ähnlich 
wie bei Urheberrechten, Patenten oder 
Marken. Inhabern solcher Ansprüche 
wird es ermöglicht, Rechtsverletzer 
„auf Beseitigung der Beeinträchtigung 
und bei Wiederholungsgefahr auch auf 
Unterlassung in Anspruch“ zu nehmen. 
Sie dürfen darauf hinwirken, dass er- 
langte Dokumente, Gegenstände, Ma- 
terialien, Stoffe oder elektronische 
Dateien vernichtet oder herausgege- 
ben werden und rechtsverletzende 
Produkte zurückgerufen oder zerstört 
werden. Eine Information giltnur dann 


als Geschäftsgeheimnis, wenn der An- 
tragsteller ein „berechtigtes Interesse” 
an einem entsprechenden Schutz gel- 
tend machen kann. Wer eine Straftat 
oder einen Rechtsverstoß durch staat- 
lich unterstützte Geheimniskrämerei 
vertuschen will, hat damit keine guten 
Karten. 

Bei WhistleblowerInnen oder Jour- 
nalistInnen greift eine Ausnahme- 
klausel: Sie werden nicht mehr per se 
als Rechtsverletzer oder Beihelfer an- 
gesehen, wenn sie Geschäftsgeheim- 
nisse publik machen. Sie dürfen eine 
„rechtswidrige Handlung“ oder ein 
berufliches oder sonstiges Fehlverhal- 
ten aufdecken, wenn die „Erlangung, 
Nutzung oder Offenlegung” eines ge- 
schützten Geheimnisses „geeignet ist, 
das allgemeine öffentliche Interesse zu 
schützen”. 

Das Whistleblower-Netzwerk erhofft 
sich von dem Gesetz ein Signal an die 
Strafverfolgungsbehörden, ein Ermitt- 
lungsverfahren bei klarer Sachlage von 
vornherein auszuschließen. Die staat- 
liche Transparenz könnte unter der 
Initiative aber leiden. So sah etwa das 
Bundesverkehrsministerium kein „be- 
rechtigtes Interesse” der Öffentlichkeit 
an Details aus den Vereinbarungen für 
die Lkw-Maut. Es will weite Teile des 
Toll-Collect-Vertrags als Geschäftsge- 
heimnis eingestuft wissen (Krempl, 
Bundesrat stimmt für mehr Schutz von 
Geschäftsgeheimnissen und Whist- 
leblowern, www.heise.de 12.04.2019, 
Kurzlink: https://heise.de/-4398431; 
zum Schutz von Whistleblowern nach 
EU-Recht s. u. S. 97). 


Bund 


PNR-Datenabgleich höchst 
fehlerhaft 


Seit 2018 erfasst das Bundeskrimi- 
nalamt (BKA) die Daten aller Flugpassa- 
giere, die in Deutschland starten oder 
landen. So sollen gesuchte Kriminelle 
und Straftatverdächtige identifiziert 
und polizeilich beobachtet werden 
können. Tatsächlich lieferte das System 
in den ersten Betriebsmonaten jede 
Menge Treffer. Gemäß der Antwort der 
Bundesregierung auf eine kleine An- 
frage des Abgeordneten Andrej Hunko 
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(Die Linke) waren jedoch die meisten 
Trefferdaten unbrauchbar. Auf jede 
korrekte Verdachtsmeldung kamen 
mehr als 400 falsche Treffer. Im soge- 
nannten Passenger Name Record (PNR) 
speichern die Fluglinien Daten zu ihren 
Passagieren. Die Datensätze enthalten 
etwa Datum, Uhrzeit, Start- und Ziel- 
flughafen der gebuchten Verbindung 
sowie Name, Anschrift und Zahlungsda- 
ten des Reisenden. Das Fluggastdaten- 
gesetz verpflichtet die Airlines, diese 
Informationen an das BKA weiterzuge- 
ben. Dort ist eine Software im Einsatz, 
welche die Daten mit Fahndungslisten 
abgleicht. 

Künftig sollen die PNR-Daten nicht 
nur nach gesuchten Personen durch- 
forstet werden, sondern auch nach 
verdächtigen Mustern, die auf eine 
für die Zukunft geplante Straftat hin- 
weisen. Das Fluggastdatengesetz gilt 
als erster großangelegter Einsatz von 
Predictive Policing in Deutschland. 
Solche Vorhersagemodelle sind natur- 
gemäß schwierig und grundsätzlich 
fehlerbehaftet. Doch offenbar hat das 
BKA schon große Probleme mit der 
Umsetzung des vorherigen, vergleichs- 
weise trivialen Schritts: dem Abgleich 
der PNR-Daten mit den Fahndungslis- 
ten der Polizeibehörden. Die Software 
liefert bisher in der großen Mehrheit 
falsche Treffer, die anschließend hän- 
disch von BeamtInnen wieder aussor- 
tiert werden müssen. 

Dabei sind zwei Arten von Fehlern zu 
unterscheiden: Die eine Art betrifft Ver- 
dächtige, die nicht als solche erkannt 
werden. Ihre Zahl lässt sich regelmä- 
ßig nicht ermitteln. Die zweite Art von 
Fehlern betrifft Personen, die fälschli- 
cherweise als Verdächtige eingestuft 
werden. Im Polizeibereich sind diese 
sogenannten falsch positiven Treffer 
besonders heikel, da auf diesem Wege 
Menschen zu Unrecht ins Visier der Si- 
cherheitsbehörden geraten. Linken-Po- 
litiker Hunko sprach von „aberwitziger 
Überwachung”: „Die Bundesregierung 
kann nicht belegen, dass mit der Flug- 
gastdatenspeicherung Straftaten auf- 
geklärt oder Gefahren verhindert wer- 
den.” Zwischen der Inbetriebnahme am 
29.08.2018 und dem 31.03.2019 hatten 
die Fluglinien Daten von 1,2 Mio. Pas- 
sagieren ans BKA weitergegeben. Die 
Software fand darin 94.098 „technische 
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Treffer“. Jeder einzelne davon wurde 
von einer BeamtIn händisch überprüft. 
In 277 Fällen stellte sich der Verdacht 
als begründet heraus. In 93.821 Fällen 
handelte es sich dagegen um ein Fehl- 
urteil der Software. Daraus ergibt sich 
eine Falsch-positiv-Rate von 99,7%. 
Das Bundesinnenministerium (BMI) 
begründet die hohe Fehlerrate damit, 
dass häufig Menschen markiert würden, 
die den gleichen Namen wie auf der 
Fahndungsliste stehende Personen ha- 
ben. Diese Fehlerquelle ließe sich ein- 
dämmen, wenn neben dem Namen auch 
das Geburtsdatum abgeglichen würde. 
Dieses wird jedoch mit den Fluggastda- 
ten nicht übermittelt. Ein Sprecher des 
Innenministeriums sagte, man sammle 
derzeit Erfahrungen und werde dann auf 
EU-Ebene überprüfen, ob man das Ver- 
fahren verbessern kann. Laut BMI sind 
etwa 40 BeamtInnen im 24/7-Schicht- 
dienst mit der Überprüfung der tech- 
nischen Treffer beschäftigt. Insgesamt 
sieht die Bundesregierung für Aufbau 
und Betrieb der Fluggast-Datenbank 
mehr als 500 Planstellen in verschie- 
denen Behörden vor. Die Daten der 277 
überprüften Treffer wurden an BKA und 
Zoll weitergegeben - zur „Umsetzung 
der Fahndungsmaßnahme”, also etwa 
Festnahmen oder Durchsuchungen. 
Die Einträge der Fluggast-Datenbank 
werden nach einem halben Jahr anony- 
misiert und nach fünf Jahren vollstän- 
dig gelöscht (Endt, Überwachung von 
Flugpassagieren liefert Fehler über Feh- 
ler, www.sueddeutsche.de 24.04.2019). 


Bund 


Regierung plant Implan- 
tateregister 


Die Bundesregierung plant ein Gesetz 
für ein deutsches Implantateregister. 
Die Datenbank soll helfen, implantierte 
Medizinprodukte wie Herzschrittma- 
cher, Brustimplantate oder künstliche 
Hüftgelenke besser zu kontrollieren. 
Ende November 2018 hatte ein Konsor- 
tium von Medien (International Consor- 
tium of Investigative Journalists - ICIJ) 
nach weltweiten Recherchen auf Proble- 
me mit Medizinprodukten aufmerksam 
gemacht und in den „Implant Files” ge- 
fährliche Missstände aufgedeckt. Schon 


seit Jahren wird über ein Implantatere- 
gister nachgedacht. Die Implant-Files 
haben nun offenbar das Gesundheitsmi- 
nisterium darin bestärkt „zu prüfen, wie 
das bestehende System der Zulassung 
und Überwachung von Medizinproduk- 
ten verbessert werden kann“. 

Gemäß dem Gesetzentwurf soll das 
Implantateregister beim Deutschen In- 
stitut für Medizinische Dokumentation 
und Information (Dimdi) eingerich- 
tet werden, das dem Bundesgesund- 
heitsministerium untersteht. Dort soll 
gespeichert werden, welchen Patien- 
tInnen wann und wo welches Implan- 
tat eingesetzt und evtl. auch wieder 
herausoperiert wurde. Auf lange Sicht 
lässt sich damit auch feststellen, welche 
Implantate besonders häufig zu Verlet- 
zungen oder gar Todesfällen führten. 
Künftig soll damit auch vermieden wer- 
den, „dass in einigen Gesundheitsein- 
richtungen noch Produkte implantiert 
werden, die anderswo schon als prob- 
lematisch aufgefallen sind”, so die Ge- 
setzesbegründung. Auch bei Rückrufen 
fehlerhafter Prothesen oder Schrittma- 
cherist ein Implantateregister hilfreich. 
Bislang müssen Hersteller Kliniken und 
Ärzte informieren, die dann wiederum 
ihre PatientInnen benachrichtigen sol- 
len. Wie die Implant-Files-Recherchen 
zeigten, haben PatientInnen in der Ver- 
gangenheit aber oft wochen- oder gar 
monatelang nicht erfahren, dass ein Im- 
plantat, das sie in ihrem Körper tragen, 
fehlerhaft ist. 

PatientInnen hatten in Deutschland 
bislang wenige Möglichkeiten, sich über 
womöglich fehlerhafte Medizinprodukte 
zu informieren. So sammelt das Bundes- 
institut für Arzneimittel und Medizin- 
produkte (BfArM) zwar die Probleme, 
die Ärzte und Hersteller im Zusammen- 
hang mit Implantaten melden, aber die 
Datenbank ist - anders als z. B. in den 
USA - nicht öffentlich einsehbar. Das 
BfArM hat bislang auch die Auskunft 
darüber verweigert, welche fehlerhaf- 
ten Implantate in der Vergangenheit in 
der Bundesrepublik zu den meisten To- 
desfällen geführt haben. Das Implantat- 
eregistergesetz soll 2020 in Kraft treten. 
Gemäß Minister Jens Spahn (CDU) wird 
der Aufbau des Registers voraussicht- 
lich drei bis fünf Jahre dauern (Ludwig/ 
Obermaier, Mehr Transparenz bei Im- 
plantaten, SZ 01.02.2019, 6). 
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Bundesweit 


Erste Bußgeldverfahren in 
Deutschland 


Bundesweit ergingen bis Mitte Janu- 
ar 2019 in 41 Fällen Bußgeldbescheide 
wegen Verstößen gegen die Daten- 
schutz-Grundverordnung (DSGVO). 
Das erste DSGVO-Bußgeld kassierte 
wohl ein soziales Netzwerk in Höhe 
von 20.000 €. Hacker hatten bei der 
Chat-Plattform Knuddels die Passwör- 
ter, E-Mail-Adressen und Pseudonyme 
von 330.000 Nutzenden abgegriffen 
und im Internet veröffentlicht. Die 
verhältnismäßig milde Strafe war auf 
die Kooperationsbereitschaft mit der 
zuständigen Datenschutzbehörde zu- 
rückzuführen. 

Gemäß einer journalistischen Umfra- 
ge unter den Datenschutzbeauftragten 
der Länder ergingen bundesweit bis 
dahin in 41 Fällen Bußgeldbescheide. 
Die Strafen kamen recht schnell, denn 
die Ermittlungsverfahren dauern in 
der Regel einige Monate. Die Behör- 
den teilten zudem mit, dass „sehr vie- 
le“ weitere Bußgeldverfahren laufen. 
Die EU-Datenschutzgrundverordnung 
gilt seit dem 25.05.2018 für die Ver- 
arbeitung, Speicherung und Weiter- 
gabe personenbezogener Daten durch 
öffentliche Stellen und private Firmen 
(Anger/Neuerer, Behörden verhän- 
gen erste Bußgelder wegen Verstößen 
gegen DSGVO, www.handelsblatt.com 
18.01.2019). 


Bundesweit 


Bitkom-Umfrage zu Daten- 
schutzbeauftragten in 
Wirtschaftsunternehmen 


Gemäß einer repräsentativen Unter- 
nehmensbefragung im Auftrag des Di- 
gitalverbands Bitkom hat derzeit fast 
jedes dritte Unternehmen in Deutsch- 
land (31%) eine Vollzeitstelle für Mit- 
arbeitende eingeplant, die sich haupt- 
sächlich mit Datenschutz befasst. 
Sechs von zehn Unternehmen (59%) 
haben dafür weniger als eine Vollzeit- 
stelle zur Verfügung. Susanne Dehmel, 
Mitglied der Bitkom-Geschäftsführung 
für Recht und Sicherheit, erklärte: 
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„Mit der Datenschutzgrundverordnung 
ist der Aufwand für viele Unterneh- 
men enorm gestiegen. Wer qualifizier- 
tes Personal finden konnte, hat dies 
auch eingestellt. Beim Datenschutz 
herrscht jedoch deutschlandweit 
Fachkräftemangel.” 

Nur wenige Unternehmen setzen auf 
mehr als eine Vollzeitstelle für Daten- 
schutzthemen. 4% haben demnach 
bis zwei Vollzeitäquivalente dafür 
eingeplant, nur 1% bis drei Vollzeit- 
äquivalente. Vor allem große Betriebe 
beschäftigen mehrere Datenschutz- 
experten. Jedes dritte Unternehmen 
ab 500 Mitarbeitende (35%) hat dafür 
bis zu vier Stellen vorgesehen, jedes 
Vierte (28%) vier oder mehr Vollzeitar- 
beitsplätze. Laut Dehmel war das Jahr 
2018 für viele Kanzleien und Rechts- 
berater mit Datenschutz-Knowhow 
sehr arbeitsintensiv. Weiterhin seien 
viele Unternehmen damit beschäftigt, 
ihre Geschäftsprozesse an die DSGVO- 
Vorgaben anzupassen. Die Umfrage 
wurde vom BitkomResearch im Auf- 
trag des Bitkom durchgeführt. Dabei 
wurden 502 für den Datenschutz ver- 
antwortliche Personen (Betriebliche 
Datenschutzbeauftragte, Geschäfts- 
führer, IT-Leiter) von Unternehmen 
aller Branchen ab 20 Mitarbeitern in 
Deutschland telefonisch befragt. 

Bitkom kritisierte die schon seit 
Längerem geplante E-Privacy-Verord- 
nung, die die DSGVO im Bereich der 
elektronischen Kommunikation ergän- 
zen soll: „Mit dem derzeitigen Entwurf 
gefährdet die E-Privacy-Verordnung 
Softwareupdates und schränkt wer- 
bebasierte Geschäftsmodelle im In- 
ternet ein.” Auch hinsichtlich der in 
der EU verhandelten so genannten 
E-Evidence-Verordnung, mit welcher 
der Zugriff von Strafverfolgungsbe- 
hörden auf elektronische Beweismittel 
erleichtert werden soll, sieht Bitkom 
Nachbesserungsbedarf. Strafverfol- 
gungsbehörden eines Mitgliedsstaa- 
tes könnten demnach von Providern 
verlangen kurzfristig elektronische 
Beweise herauszugeben, auch wenn 
diese in einem anderen Mitgliedsstaat 
ansässig sind. Dehmel: „Private Provi- 
der sollten keine Grundrechtsprüfun- 
gen vornehmen, ohne dass nationale 
Behörden miteinbezogen werden“ (Da- 
tenschutzexperten sind die Ausnah- 


men in Unternehmen, www.bitkom.org, 
25.01.2019). 


Bundesweit 


Binder Datenschutzbeauf- 
tragter mehrerer Rund- 
funkanstalten 


Die Aufsichtsgremien der öffentlich- 
rechtlichen Rundfunkanstalten BR, 
SR, WDR, ZDF und Deutschlandradio 
haben Dr. Reinhart Binder zum gemein- 
samen hauptamtlichen Rundfunkda- 
tenschutzbeauftragten ihrer Häuser 
berufen. Gemäß einer Mitteilung des 
BR-Rundfunk- und Verwaltungsrats be- 
aufsichtigt Binder seit dem 01.01.2019 
als unabhängige Behörde die betriebli- 
chen Datenschutzbeauftragten der öf- 
fentlich-rechtlichen Rundfunkanstal- 
ten. Binder ist Jurist mit spezifischen 
rundfunkrechtlichen Kenntnissen. Er 
war unter anderem zeitweilig Vorsit- 
zender des Arbeitskreises der Daten- 
schutzbeauftragten von ARD, ZDF und 
Deutschlandradio und hat damit Erfah- 
rungen im Datenschutz. 

Nach Inkrafttreten der europäi- 
schen Datenschutz-Grundverordnung 
(DSGVO) waren bis zum 25.05.2018 
Vorgaben in den einschlägigen 
Staatsverträgen bzw. Landesgesetzen 
umzusetzen. Anschließend haben die 
insoweit jetzt gesetzlich zuständigen 
Aufsichtsgremien des öffentlich- 
rechtlichen Rundfunks auch die Re- 
gelungen zur datenschutzrechtlichen 
Aufsicht konkretisiert. Die Aufsichts- 
gremien der genannten fünf Rund- 
funkanstalten haben sich für eine Ko- 
operation bei der Datenschutzbehör- 
de entschieden. Mit der Errichtung 
und der organisatorischen Angliede- 
rung an die Geschäftsstellen der Auf- 
sichtsgremien der Rundfunkanstal- 
ten soll die in der DSGVO geforderte 
Unabhängigkeit der Datenschutz- 
aufsicht gestärkt und eine größere 
Arbeitseffizienz ermöglicht werden. 
Vor Ablauf der Amtszeit des Rund- 
funkdatenschutzbeauftragen wollen 
die zuständigen Aufsichtsgremien 
der beteiligten Anstalten die Koope- 
ration bei der Datenschutzaufsicht 
evaluieren (Öffentlich-Rechtliche 
berufen gemeinsamen Rundfunkda- 
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tenschutzbeauftragten, www.infosat. 
de 02.01.2019). 


Bundesweit 


Illegale Telefonmitschnitte 
im Volkswagen-Konzern 


Wolfgang Hatz, der ehemalige Chef- 
Motoren-Entwickler des Volkswagen- 
Konzerns, stürzte durch den Diesel- 
Skandal tief ab. Hatz wurde schon we- 
nige Tage nach Bekanntwerden der Vor- 
würfe als Porsche-Vorstand beurlaubt. 
Derart unfreiwillig frei gestellt, rief er 
mehrere Konzern-Manager an, zeichne- 
te die Gespräche ohne deren Wissen auf 
und übergab die Mitschnitte seinem An- 
walt. Betroffen sind der damalige Volks- 
wagen-Chef Matthias Müller, Porsche- 
Boss Oliver Blume und Vorstandskollege 
Michael Steiner. Wie aus dem Hause 
Porsche zu hören ist, sind die drei Her- 
ren nicht begeistert angesichts des Ver- 
trauensbruchs, zumal das Handelsblatt 
genüsslich aus den Protokollen zitierte 
und es in den Gesprächen explizit um 
die „Bescheiß-Software” ging. „Mia, i 
moan, imuaß, imuaß, i wui da do nix 
vormacha”, soll Matthias Müller auf gut 
bayerisch gesagt haben, „äh, mia ken- 
nan nicht gegen den Aufsichtsrat von 
VW entscheiden”. Hatz habe in den Te- 
lefonaten stets betont, dass er keinerlei 
Schuld habe, deshalb habe er wissen 
wollen, wann er wieder arbeiten darf. 

Daraus wurde bislang nichts: Por- 
sche betonte bei der Beurlaubung zwar, 
man habe „keinerlei Hinweise” auf eine 
Mitverantwortung von Hatz für mani- 
pulierte Abgasmessungen. Dennoch 
kam Hatz im September 2017 in Unter- 
suchungshaft. Erst im Juni 2018 kam 
er gegen eine Drei-Millionen-Kaution 
frei. Die Staatsanwaltschaft München II 
ermittelt wegen Betrugs-Verdachts ge- 
gen ihn. Die Ermittlungen wegen „Ver- 
letzung der Vertraulichkeit des Wortes” 
wurden dagegen eingestellt, weil, so 
eine Sprecherin, „keiner der Geschädig- 
ten Strafantrag gestellt hat“. Die „Ge- 
schädigten”, Porsche und Hatz’ Anwalt 
Peter Gauweiler sagten zu den Protokol- 
len nichts. Die Chancen auf Hatz’ Rück- 
kehr haben sich durch die Abhöraktion 
nicht erhöht (Mayr, Lauschangriff unter 
Kollegen, SZ 21.03.2019, 20). 
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Bayern 


Polizei übt in Würzburg 
Ordnungs-Razzien nach 
neuem PAG 


Die Hafentreppe am Heizkraftwerk in 
Würzburg ist ein Treffpunkt von Jugend- 
lichen, die zumeist friedlich feiern. Da 
dort aber auch Minderjährige Alkohol 
konsumieren und es zu Körperverlet- 
zungs-, Raub- und Diebstahldelikten 
gekommen ist, führte die Polizei dort 
zwei drakonische Razzien mit umfas- 
senden Erfassungsaktionen durch. Bei 
der Razzia am 22.03.2019 hielten 40 
Einsatzkräfte 137 Jugendliche bis zu 
drei Stunden lang fest und durchsuch- 
ten sie. Bei der Razzia am 16.02.2019 
wurden auch Fotos gemacht. Die Würz- 
burger Polizeiaktionen wurden Gegen- 
stand von Diskussionen im Bayerischen 
Landtag. 

Ein 18-jähriger Schüler berichtet von 
dem Einsatz am 16.02.: „Wir wurden an 
die Wand gestellt, bekamen ein Schild 
mit einer Nummer in die Hand und wur- 
den fotografiert. Ich war die Nummer 
64.” Auf Nachfrage stritt die Polizei 
zuerst ab, dass sie Personen abgelich- 
tet hat, ohne dass es den Verdacht ei- 
ner Straftat gab. Erst nachdem sich der 
18-Jährige schriftlich beschwerte, gab 
die Behörde zu, man habe ihn und an- 
dere „ohne rechtliche Grundlagen“ foto- 
grafiert. Gemäß Kathrin Thamm, Presse- 
sprecherin des Polizeipräsidiums Unter- 
franken, sind neben den rechtlich nicht 
zulässigen Fotos bei der Aktion auch 
Aufnahmen mit einer Rechtsgrundlage 
gemacht worden: von Personen ohne 
Ausweis. Und von Verdächtigen einer 
vermeintlichen Sexualstraftat, bei der 
sich später herausgestellte, dass die 
„Berührungen und ungewollten Küsse” 
bereits eine Woche vorher passiert sein 
sollen. Am 11.03.2019 seien die Bildda- 
teien gelöscht worden. 

Bei der Großkontrolle am 22.03. wa- 
ren hauptsächlich 14- bis 17-Jährige 
betroffen, die auf dem Weg zu einer Dis- 
kothek im Alten Hafen waren. Sie wur- 
den auf Höhe des Cinemaxx-Kinos auf- 
gegriffen, was nicht als gefährlicher Ort 
bezeichnet werden kann, und dann zur 
rund 200 Meter entfernten Hafentreppe 
gebracht. In einer Antwort auf eine An- 


frage der Grünen-Fraktion erklärte In- 
nenminister Joachim Herrmann (CSU) 
hierzu, die Einsatzkräfte hätten nicht 
feststellen können, wo die Jugendli- 
chen vorher gewesen waren. Das Poli- 
zeipräsidium Unterfranken nannte dies 
später eine „Fehleinschätzung”. Spre- 
cherin Thamm sagte: „Dies bedauern wir 
ausdrücklich.” 

„Wir wurden aufgefordert, uns mit 
dem Gesicht an die Wand zu stellen“, 
erzählte ein 17-Jähriger: „Nach drei 
Stunden Warten in der Kälte wurde 
ich zu einem Streifenwagen gebracht 
und musste meinen Personalausweis 
abgeben.” Dann habe er seine Taschen 
ausleeren und einen Alkotest machen 
müssen und sei abgetastet worden. 
Drei weitere Schüler bestätigen diesen 
Ablauf. Auch alle anderen Anwesenden 
seien so durchsucht worden. Die Poli- 
zei erklärte, dass sie bei jeder Person 
Identität und Alter festgestellt habe, 
Durchsuchungen und Atem-Alkohol- 
tests seien aber nur „anlassbezogen” 
erfolgt. Polizeisprecher Hein: „Bei 97 
Personen wurden Atem-Alkoholisie- 
rungen festgestellt.” 

„Wir haben mehrmals gefragt, warum 
ich so lange festgehalten werde”, be- 
richtete ein Schüler. Eine Antwort habe 
er nicht bekommen. Bekommen haben 
er und alle seine Freunde am Ende ei- 
nen Platzverweis. Laut Polizei sei die- 
ser gegen alle „erkennbar betrunkenen 
Personen” ausgesprochen worden. „Das 
war ich sicher nicht” erklärte der Gym- 
nasiast. Und ein 17-jähriger Betroffener 
fragte sich: „Darf die Polizei uns einfach 
so festhalten, uns durchsuchen, einen 
Alkotest machen und uns einen Platz- 
verweis aussprechen, obwohl wir gar 
nichts gemacht haben?”. Ein Betroffe- 
ner berichtete ein Detail: „Als ich auf 
Toilette musste, wurde ich von Polizis- 
ten zum Rand der Treppe gebracht, um 
unter Aufsicht in den Main zu pinkeln.” 
Das ist eigentlich eine Ordnungswidrig- 
keit, die laut städtischer Satzung mit 
einem Bußgeld belegt wird. 

Das Ergebnis der Razzia, bei der ne- 
ben den Einsatzkräften der Polizeiin- 
spektion Würzburg eine geschlossene 
Einheit der Bereitschaftspolizei, ein 
Boot der Wasserschutzpolizei und ein 
Rauschgifthund im Einsatz waren, 
sind laut Polizei: drei Verstöße gegen 
das Betäubungsmittelgesetz und drei 
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alkoholisierte Minderjährige, die ih- 
ren Eltern übergeben wurden. Die vor 
Ort anwesenden Mitarbeiter des Kom- 
munalen Ordnungsdienstes der Stadt 
Würzburg sollten Verstöße gegen das 
Stadtrecht ahnden. Doch passiert ist 
das laut Rathaussprecherin Claudia Lo- 
ther nicht. Mitarbeiter des Jugendam- 
tes haben sich darum gekümmert, dass 
unter 16-Jährige möglichst rasch den 
Platz verlassen konnten. Zu Details der 
Aktion wollte sich die Stadt aber nicht 
äußern: „Die Einsatzleitung oblag ja 
der Polizei.” Bei der Polizeiinspektion 
Würzburg-Stadt hatten sich laut stell- 
vertretenden Leiter Alexander Streng 
einige Eltern der betroffenen Jugend- 
lichen gemeldet. Man habe diesen 
„die Notwendigkeit des Einsatzes nahe 
bringen“ können. 

„Jugendschutzkontrolle” nannte 
die Polizei zunächst den Einsatz. Auf 
Nachfrage ergänzte Polizeisprecher 
Steffen Hein: „Es hat Beschwerden von 
Anwohnern wegen Müll und Lärm auf 
der Hafentreppe gegeben.” Im tägli- 
chen Polizeibericht, der an die Presse 
geht, wurde die Aktion dann nicht er- 
wähnt. Bekannt wurde das polizeili- 
che Vorgehen erst durch Berichte von 
Betroffenen gegenüber der Presse. 
Klaus Böhm, Chef der Polizeiinspektion 
Würzburg, rechtfertigte den Einsatz: 
„Wir können doch nicht zusehen und 
warten, dass etwas passiert.” Man habe 
durch die Großkontrollen Jugendliche 
vor Übergriffen sowie Drogen- und Al- 
koholmissbrauch schützen und Krimi- 
nalität verhindern wollen. 

Rechtlich gedeckt sei der Einsatz, 
weil gemäß dem eben novellierten 
Bayerischen Polizeiaufgabengesetz 
(PAG) an „gefährlichen Orten“, an de- 
nen Straftaten begangen werden, die 
Feststellung der Identität und Durch- 
suchungen prinzipiell erlaubt sei. Der 
Würzburger Strafverteidiger und An- 
walt Markus Schüll sieht hier das ge- 
setzliche Einfallstor: „Wenn die Polizei 
nachweisen kann, dass an der Hafen- 
treppe regelmäßig Straftaten vorkom- 
men und weitere zu erwarten sind, war 
die Maßnahme gerechtfertigt.” Aller- 
dings müsse die Einschränkung von 
Grundrechten wasserdicht begründet 
werden. „Wie die Polizei diese Rechts- 
grundlage hier nutzt, könnte sie es 
prinzipiell auch auf einem Bierzelt 
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oder bei einem Weinfest für eine ähn- 
liche Aktion tun.” Zum konkreten Vor- 
gehen meinte er: „Ich kann nicht erst 
eine Person an einen gefährlichen Ort 
bringen, um die polizeiliche Maßnah- 
me dann damit zu rechtfertigen, dass 
sich diese Person an einem gefährli- 
chen Ort aufgehalten hat.” 

Der innenpolitische Sprecher der SPD- 
Fraktion, Stefan Schuster, fragte im 
Landtag an, ob die Polizei bei der „Ju- 
gendschutzkontrolle” Befugnisse aus 
dem neuen Polizeiaufgabengesetz nutz- 
te. Man wolle wissen, ob die Jugendli- 
chen auf der Hafentreppe aufgrund ei- 
ner von ihnen ausgehenden „drohenden 
Gefahr” festgehalten und durchsucht 
wurden. Innenminister Herrmann er- 
klärte in seiner Antwort, dass „drohen- 
de Gefahr“ bei dem konkreten Fall keine 
Rolle gespielt habe. „Die Kontrollen wä- 
ren vor der Änderung des Polizeiaufga- 
bengesetzes möglich gewesen.” Er ver- 
wies auf Ordnungs- und Sicherheitsstö- 
rungen, die in den vergangenen Wochen 
am Hafen vorgekommen seien. Dem 
gegenüber verwies die Würzburger Poli- 
zei als Rechtsgrundlage auf den neuen 
Art. 21 Abs. 1 Nrn. 1, 3 PAG, der eine 
Durchsuchung aufgrund einer „drohen- 
den Gefahr für ein bedeutendes Rechts- 
gut” legitimiert. 

Für den Datenschutzexperten Thilo 
Weichert steht das Würzburger Bei- 
spiel für „die Kultur der Bayerischen 
Polizei zu kontrollieren, Daten zu er- 
fassen und zu speichern und dann 
zu schauen, wofür man sie brauchen 
kann“. Der Politologe und Jurist aus 
Kiel ist ein Kritiker des neuen PAG: 
„Mit diesem hat die CSU-Politik der Po- 
lizei signalisiert, dass sie von rechtli- 
chen Eingrenzungen frei gestellt wer- 
den soll.” Würzburgs Polizeichef Böhm 
erklärte im Nachgang der öffentlichen 
Auseinandersetzung zu der Polizei- 
aktion, eine Nachbearbeitung sei 
„wichtig, um festzustellen, wo Fehler 
gemacht wurden“. Nach den beiden 
Großkontrollen - den ersten dieser 
Art in Würzburg - räumte er ein: „So 
würden wir es nicht mehr machen.” Im 
Alten Hafen sollen jetzt neben der Po- 
lizei auch verstärkt Sozialarbeiter tä- 
tig sein (Göbel, Hafen-Razzia: Polizei 
fotografierte Jugendliche, Mainpost 
15.04.2019; Mainpost 05.04.2019; 
Mainpost 26.03.2019). 


Bayern 


ADG-Apothekensoftware 
speichert mehr Daten als 
nötig 


Eine Apothekerin, die die Apothe- 
kensoftware der zur Phoenix-Group ge- 
hörenden Firma ADG, einem der größten 
Hersteller hierfürin Deutschland, nutzt, 
stellte fest, dass die Daten von KundIn- 
nen, die mit einem Rezept in ihre Apo- 
theke kommen, ohne ihr Wissen gespei- 
chert bleiben. Sie vermutet, dass viele 
Apotheken im Land das gleiche Problem 
haben ohne dies zu wissen. Die Vorwür- 
fe werden vom zuständigen Bayerischen 
Landesamt für Datenschutzaufsicht LDA 
Bayern geprüft. 

Die Apothekerin konnte nach einem 
halben Jahr noch immer nachsehen, 
welcher Kunde wann eine bestimmte 
Creme gekauft hat. Sie musste aufihrem 
Computer nur den Namen eines Medika- 
ments eingeben und schon listete der 
Rechner alle Verkäufe der vergangenen 
Monate auf, mit Vorname, Nachname, 
Anschrift, Geburtsdatum und Kranken- 
kasse. In einer Zeile stand dann zum 
Beispiel „Text: Hans Meier”. Das Wort 
„Text“ ist der Hinweis darauf, dass Hans 
Meier kein Kundenkonto hat, sondern 
sich die Kasse den Namen vom Rezept 
gespeichert hat und Hans Meier davon 
wohl keine Ahnung hat. 

Als sich die Apothekerin im Frühjahr 
2018 um die Einhaltung der neuen Da- 
tenschutz-Grundverordnung (DSGVO) 
kümmern wollte und ihre Kundenkon- 
ten durchging, fiel ihr auf, dass mit der 
Software etwas nicht stimmen könne 
und dass sie viel mehr speichert als er- 
laubt ist. In ihrer Datei fand sie etwa 
8650 KundInnen, ungefähr das Vierfa- 
che ihrer StammkundInnen, und fragte 
sich, zu wem all die anderen Konten ge- 
hören: „Ich habe mich mit meinem Mit- 
arbeiter kurz ins System reingehängt. Es 
war erschreckend einfach.” 

Dominik Herrmann, Professor aus 
Bamberg, forscht und lehrt zum Daten- 
schutz und zu Informationssicherheit. 
Er untersuchte die Software und fand 
schnell im unverschlüsselten Apothe- 
kennetzwerk das passende Passwort 
sowie massenhaft Kundendaten, die 
eigentlich gelöscht sein sollten. Der 
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Softwarehersteller ADG wies alle Schuld 
von sich: „Selbstverständlich können 
nicht (mehr) benötigte Daten auch von 
der Apotheke gelöscht werden, wobei 
jedoch ein abgestuftes Löschkonzept 
zum Tragen kommt.“ Es bestünden 
„zahlreiche gesetzliche Dokumenta- 
tions- und Aufbewahrungspflichten für 
Apotheken”, etwa aus dem Steuerrecht, 
der Arzneimittelsicherheit oder dem 
Betäubungsmittelgesetz. Nach Ablauf 
der gesetzlichen Aufbewahrungsfristen 
würden die personenbezogenen Daten 
jedoch „irreversibel durch anonyme 
Daten überschrieben”. Auch bei der 
Prüfung desselben Systems bei einer 
weiteren Apotheke stieß Herrmann auf 
mehrere, ähnlich fragwürdige Vorgänge. 
Es gebe zwei Wege, um Kunden zu „lö- 
schen“. In Variante eins verschwinden 
die KundInnen aus der Anzeige, doch 
kann man sie mit einem Klick wieder zu- 
rückholen. In der zweiten, vermeintlich 
DSGVO-konformen Variante lassen sich 
die KundInnen nicht reaktivieren. In 
der Datenbank bleiben sie aber trotzdem 
gespeichert. 

Als die Apothekerin das Geschäft von 
einer Vorgängerin übernahm, fragte 
diese bei ihren KundInnen nach, ob sie 
StammkundInnen bleiben wollen. Nur 
ein kleiner Teil stimmte zu. Die Firma 
ADG wurde daraufhin beauftragt, die 
Datenbank entsprechend zu bereinigen. 
Herrmann dazu: „ADG hätte die Aufgabe 
gehabt, die Datenbank ordentlich neu 
aufzusetzen. Das wäre aber ein erhebli- 
cher Programmieraufwand gewesen, um 
den man sich gedrückt hat”. Etwa 7.000 
versteckte KundInnen ihrer Vorgänge- 
rin blieben so erhalten, entgegen recht- 
licher Bestimmungen. Die ADG-Software 
erfasst auch Daten von KundInnen, die 
nur einmal vorbeikommen. Wird das Re- 
zept beim Besuch der Apotheke einge- 
scannt, passiert das mit einer Kamera, 
die den Text automatisch verarbeitet. In 
der Apotheke muss so die Adresse dann 
nicht mehr mit der Hand für die Abrech- 
nung eingetippt werden, doch bleiben 
die Informationen auch nach der Ab- 
rechnung gespeichert. 

Die Kamera erfasst unter anderem die 
Pharmazentralnummer, diejedem Medi- 
kament zugeordnet ist, Vorname, Nach- 
name, Anschrift, Geburtsdatum und 
Krankenkasse. Grundsätzlich müssen 
Apotheker solche Daten von Kassen- 
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patientInnen erfassen, um die Medika- 
mente abrechnen zu können. Die Apo- 
theker scannen die Rechnungen separat 
ein und schicken sie an ein Apotheken- 
Rechenzentrum. Dazu müssen die Infor- 
mationen aber nicht in einer Datenbank 
gespeichert bleiben; solange die Kun- 
dInnen nicht zustimmen, dürfen sie das 
auch nicht. Die ADG-Software speichert 
die Daten offenbar trotzdem ab. Gemäß 
Bernhard Witt, Experte für Datenschutz 
und Informationssicherheit, steht diese 
Praxis in Konflikt mit dem Prinzip der 
Datenminimierung der DSGVO, wonach 
so wenig wie nötig gespeichert werden 
soll. Dies gelte erst recht, wenn Privat- 
patientInnen ihre Rezepte nur vorlegen 
und selbst bezahlen. 

Das eingeschaltete LDA Bayern be- 
teuerte, dass das Thema „sehr hoch auf- 
gehängt“ werde. Das Amt könne einen 
datenschutzkonformen Zustand der 
Software erzwingen, im Zweifel auch 
Bußgelder verhängen. Die ADG wehr- 
te sich mit der Behauptung, dass die 
Warenwirtschaftssysteme den Anfor- 
derungen der DSGVO in vollem Umfang 
Rechnung tragen: „Datenschutz ist uns 
als Gesundheitsdienstleister sehr wich- 
tig und durch Richtlinien und Prozesse 
fest in unserer Organisation verankert. 
Warenwirtschaftssysteme in Apotheken 
müssen den Anforderungen zahlreicher 
gesetzlicher Dokumentations- und Auf- 
bewahrungspflichten für Apotheken ge- 
nügen, die etwa aus dem Steuerrecht, 
dem BtM-Recht, der Arzneimittelsicher- 
heit (zum Beispiel Arzneimittelrück- 
rufe) oder den arzneimittelrechtlichen 
Sorgfaltspflichten des Apothekers zum 
Schutz von Patienten herrühren. Daher 
kommt ein abgestuftes, parametrisier- 
bares Speicherungs- und Löschkonzept 
zum Tragen. Dieses Datenschutzkon- 
zept ist für den Anwender umfassend 
dokumentiert, damit er die notwendi- 
gen Entscheidungen treffen kann.” 

Auf die Frage, ob also die jeweilige 
Apotheke sich selbst um einen korrek- 
ten Datenumgang kümmern müsse, ant- 
wortete einSprecher desUnternehmens, 
das System S300 trage dem Grundsatz 
„privacy by default“ Rechnung, da es 
in den Standardeinstellungen auf ma- 
ximalen Datenschutz eingestellt sei. 
Im datenschutzrechtlichen Sinne ver- 
antwortlich für die Datenerhebung und 
-verarbeitung sei aber die Apotheke. Sie 


könne in den Einstellungen des Systems 
jederzeit selbst bestimmen und ein- 
stellen, welche Daten erfasst und wie 
diese verarbeitet werden sollen. Dies 
seiin den Handbüchern zum Warenwirt- 
schaftssystem auch klar beschrieben. 
So sei einstellbar, ob die Daten aus ei- 
nem Rezept überhaupt übernommen 
werden sollen. Bei Rezeptscans könne 
man zudem eine konkrete Speicherdau- 
er einstellen. Selbstverständlich könn- 
ten nicht (mehr) benötigte Daten auch 
von der Apotheke gelöscht werden, 
wobeijedoch ein abgestuftes Löschkon- 
zept zum Tragen komme. Weiter erklärte 
er, dass es wichtig zu erwähnen sei, dass 
Aufbewahrungs- und Speicherfristen 
aus den unterschiedlichsten Gesetzen 
resultieren, etwa aus dem Handels-, 
Gewerbe-, Steuer-, Sozialrecht sowie 
Vorschriften des Gesundheitswesens. 
Bestünden gesetzliche Aufbewahrungs- 
pflichten, so gingen diese zwingend 
dem Grundsatz der Datenminimierung 
vor. Eine Löschung dürfe dann nicht 
erfolgen und könnte - wie etwa im Fall 
des Steuerrechts - sogar eine Straftat 
darstellen (Munzinger/Ratzesberger/ 
Tanriverdi, Datenschutz Verdacht auf 
unzulässig gespeicherte Kundendaten 
in Apotheken, www.sueddeutsche.de 
20.12.2018; Borsch, ADG widerspricht 
Datenschutzvorwürfen, www.deutsche- 
apotheker-zeitung.de 21.12.2018). 


Berlin/Hessen 


„Bild” verweigert Staats- 
anwaltschaft Webnut- 
zungsdaten 


Am 25.03.2019 meldete die Bild-Zei- 
tung auf Seite eins: „Staatsanwaltschaft 
will ‘Bild’ ohne Durchsuchungsbefehl 
durchsuchen.” In vier Absätzen wurde 
geschildert, dass am vorangegangenen 
Samstagnachmittag Polizisten versucht 
hätten, „Zugang bei ‘Bild’ zu bekom- 
men“. Die Ermittler hätten Zugriffsda- 
ten von LeserInnen beschlagnahmen 
wollen. Man habe sie direkt am Eingang 
abgewiesen, da sie ohne richterlichen 
Durchsuchungsbeschluss gekommen 
seien. Bild-Chefredakteur Julian Rei- 
chelt wurde damit zitiert, dass seine 
Zeitung „wegen des hohen Gutes des 
unantastbaren Informantenschutzes 
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niemals freiwillig Daten von Lesern oder 
Informanten herausgeben” würde. 

Auslöser war die Staatsanwaltschaft in 
Frankfurt am Main. Es handele sich um 
Ermittlungen des Landeskriminalamtes 
(LKA) von erheblicher Bedeutung we- 
gen des Verdachts der Bedrohung und 
der Volksverhetzung in einem öffent- 
lich bekannten Fall: Seit Dezember 2018 
sucht die Staatsanwaltschaft nach den 
VerfasserInnen von üblen Drohungen 
und Beleidigungen gegen eine türkisch- 
stämmige Rechtsanwältin, welche die 
Familie eines NSU-Mordopfers vertreten 
hatte. Die TäterInnen hatten der Anwäl- 
tin Drohbriefe gesandt und diese Dro- 
hungen mit „NSU 2.0“ unterschrieben. 
In diesem Fall wird auch gegen mehrere 
inzwischen suspendierte Frankfurter Po- 
lizisten ermittelt, weil interne Daten aus 
dem Polizeicomputer in den Drohbriefen 
aufgetaucht sind (DANA 1/2019, 38£.). 

Kurz vor dem Besuch bei „Bild” waren 
die Ermittler offenbar auf Anhaltspunkte 
gestoßen, dass die Daten von Nutzenden 
der Webseite „bild.de“ für ihre Ermittlun- 
gen relevant sein könnten. Die Frankfur- 
ter Staatsanwaltschaft meinte, dass „die 
Erhebung von Daten im Zusammenhang 
mit Zugriffen auf bestimmte, öffentlich 
zugängliche Online-Inhalte beim Axel- 
Springer-Verlag erforderlich” sei. Weil 
diese Nutzungsdaten nur für eine kur- 
ze Zeit gespeichert würden, habe die 
Staatsanwaltschaft den Axel-Springer- 
Verlag mittels Eilanordnung telefonisch 
und per Fax zur Herausgabe der Daten 
verpflichten wollen. Weil der Verlag nicht 
reagiert habe, sei dann an dessen Sitz in 
Berlin das dortige Landeskriminalamt 
um Unterstützung gebeten worden. Eine 
„Durchsuchung“ der Geschäftsräume des 
Verlags sei zu keinem Zeitpunkt beab- 
sichtigt gewesen. Es handele sich bei der 
Aktion nicht um einen Eingriffin die vom 
Grundgesetz geschützte Pressefreiheit, 
sondern um „das Anliegen, die im Raum 
stehenden massiven Straftaten mit zeu- 
genschaftlicher Unterstützung durch ein 
Medienunternehmen aufzuklären”. 

Ein Sprecher des Axel-Springer- 
Verlags sieht dies anders: „Die Etiket- 
tierung der Vorgehensweise spielt für 
unseren Rechtsstandpunkt keine Rolle. 
Faktisch wollte das LKA Wiesbaden die 
Herausgabe von Leserdaten.” Es sei ein 
legitimes Anliegen des Verlags, diese 
zu schützen. „Entscheidend ist, dass 
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eine solche Herausgabeforderung un- 
sere grundrechtlich geschützten Rechte 
berührt.” Relevanz hätte allenfalls eine 
richterliche Anordnung und auch gegen 
diese würde die Redaktion, wie medial 
angekündigt, sämtliche Rechtsmittel 
ausschöpfen (Schneider, Nicht leicht zu 
haben, SZ 27.03.2019, 31). 


Brandenburg 


Fall Rebecca: 
Kfz-Kennzeichen-Vorrats- 
datenspeicherung 


Die Polizei Brandenburg speichert 
Kennzeichen aller Autos auf bestimm- 
ten Autobahnen. Die Daten werden nicht 
nur nach Verdächtigen gerastert, son- 
dern auch auf Vorrat gespeichert: Am 
06.03.2019 teilten die Polizei und die 
Staatsanwaltschaft von Berlin im Fall ei- 
nes verschwundenen Mädchens mit, dass 
das vom Tatverdächtigen genutzte Fahr- 
zeug „am Tag des Verschwindens Rebec- 
cas von einer Verkehrsüberwachungsan- 
lage auf der Bundesautobahn (BAB) 12 
zwischen Berlin und Frankfurt/Oder, am 
Montag, den 18. Februar 2019, um 10.47 
Uhr und am darauffolgenden Tag, Diens- 
tag, den 19. Februar 2019, um 22.39 Uhr, 
festgestellt wurde”. Schon 2012 gab es 
Berichte, dass in Brandenburg Kenn- 
zeichen-Scanner nicht nur nach vorher 
definierten Kennzeichen fahnden, son- 
dern mit einen „Aufzeichnungsmodus” 
auch sämtliche Kennzeichen speichern 
können. 2013 wurden die Standorte von 
vier stationären Geräten auf der BAB 
12 veröffentlicht, bei denen es sich um 
das Produkt „PoliScan Surveillance” der 
Wiesbadener Firma Vitronic gehandelt 
haben soll. Gemäß Presseberichten zeig- 
te sich die Polizei Brandenburgs „stink- 
sauer”, dass nun ihre Kollegen in Berlin 
die Ermittlungserkenntnisse öffentlich 
bekannt gemacht hatten. 

2008 hatte das Bundesverfassungsge- 
richt (BVerfG) eine „automatisierte Er- 
fassung von Kraftfahrzeugkennzeichen” 
nur unter strengen Auflagen erlaubt. 
Ende 2018 hat es dann die Regelungen 
von Bayern, Baden-Württemberg und 
Hessen für teilweise verfassungswidrig 
erklärt (s. u. S. 108). Eine Kennzeichen- 
erfassung kann in Brandenburg ent- 
weder gemäß dem dortigen Polizeige- 


setz präventiv oder zur Strafverfolgung 
gemäß der Strafprozessordnung (u. a. 
88 111, 100h, 163e StPO) erfolgen. Jenach 
Rechtsgrundlage gelten unterschiedliche 
Aufbewahrungs- und Löschfristen. 

Patrick Breyer, Spitzenkandidat der 
Piratenpartei bei der Europawahl, kom- 
mentierte den Vorgang wie folgt: „Den 
gesamten Fahrzeugverkehr auf einer 
Strecke auf Vorrat zu speichern halte ich 
für eine völlig unverhältnismäßige Straf- 
verfolgungsmaßnahme. Ich rate Betrof- 
fenen, rechtlich dagegen vorzugehen, 
um diese Frage vor Gericht klären zu las- 
sen. Deutschland darf sich nicht die Pra- 
xis etwa von Dänemark oder Großbritan- 
nien zu eigen machen, die Bewegungen 
jedes Autofahrers aufzuzeichnen und bis 
zu zwei Jahre lang zu speichern.” 

Eine Sprecherin der Polizei Branden- 
burg bestätigte, dass das Auto im Fall 
Rebecca vom Kennzeichenerfassungs- 
system KESY protokolliert wurde. Dieses 
System enthalte einen Fahndungsmo- 
dus, der nach definierten Kennzeichen 
sucht, und einen Aufzeichnungsmodus, 
der sämtliche Kennzeichen erhebt und 
speichert. Das Kennzeichen des verdäch- 
tigen Autos war zum Erhebungszeitraum 
nicht im System zur Fahndung ausge- 
schrieben. Aber ein Richterbeschluss in 
einem anderen Strafverfahren hatte die 
Aufzeichnung sämtlicher Kennzeichen 
erlaubt. Und weil diese Daten schon er- 
hoben und gespeichert waren, konnten 
sie auch im Nachhinein abgefragt und an 
die Berliner Polizei übermittelt werden. 
Die Brandenburger Polizei Brandenburg 
sprach hier explizit von „Beifang“. 

Die Landesdatenschutzbeauftragte 
Brandenburg (LfD) prüfte seit 2015 
das System und ging dabei davon aus, 
„dass die Kameras ständig Kennzeichen 
aufzeichnen und daher bestimmte Stra- 
ßenabschnitte entgegen der Entschei- 
dung des Bundesverfassungsgerichts 
flächendeckend erfasst werden.” Sie 
hatte Mängel gerügt und „eine andere 
Rechtsmeinung als die Polizei” vertre- 
ten. Ein Sprecher der LfD erklärte im 
Nachgang zu der Berichterstattung über 
den konkreten Fall Rebecca, dass nach 
der Prüfung im Jahr 2015 die Polizei die 
„Verfahrensdokumentation“ des Sys- 
tems nachgeliefert habe: „Im Ergebnis 
ihrer Auswertung haben wir hinsichtlich 
der Umsetzung der erforderlichen tech- 
nisch-organisatorischen Maßnahmen 
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- auch unter Berücksichtigung der vo- 
rangegangenen Vor-Ort-Prüfung - keine 
gravierenden Mängel festgestellt.” Eil- 
fahndungen würden nach 24 Stunden 
gelöscht. Bei richterlichen Anordnun- 
gen von Beobachtungen oder Observa- 
tionen hänge die Speicherfrist von der 
jeweiligen Dauer der Anordnung ab. 

Darüber hinaus dürften Strafverfol- 
gungsbehörden erhobene Daten zum 
Zwecke künftiger Strafverfahren gemäß 
& 484 StPO speichern. Die speichernde 
Stelle prüfe nach festgesetzten Fristen, 
ob die Daten zu löschen sind (sog. Aus- 
sonderungsprüfung). Die Prüffristen er- 
geben sich regelmäßig aus 8 489 Abs. 4 
StPO. Werden Daten zum Zwecke künfti- 
ger Strafverfahren in Dateien der Polizei 
gespeichert, gälten für die weitere Ver- 
wendung die Vorgaben des Brandenbur- 
gischen Polizeigesetzes (8 484 Abs. 4 
StPO i.V.m. 88 37 ff. BbgPolG). 

Clemens Arzt, Rechtswissenschaft- 
ler und Hochschullehrer, kritisierte die 
Bewertung der Landesdatenschutzbe- 
auftragten. Er sehe nicht, dass Kennzei- 
chendaten zufällig erfasster BürgerIn- 
nen aus strafprozessualem Anlass über 
längere Zeit gespeichert werden dürften. 
Weder für die Datenhebung noch für die 
Datenspeicherung gebe es eine entspre- 
chende Befugnis der Polizei in der Straf- 
prozessordnung. Die Einrichtung einer 
Kontrollstelle erlaube keine automati- 
sierte Kennzeichenkontrolle, die Rege- 
lungen zur Observation bezögen sich nur 
auf Beschuldigte und erlaubten Datener- 
hebungen im Einzelfall. Die Ausschrei- 
bung eines Kennzeichens zur Beob- 
achtung sei etwas völlig anderes als die 
Datenerhebung mittels automatisierter 
Kennzeichenkontrolle (Meister, Kennzei- 
chenerfassung: Brandenburg speichert 
Autofahrten auf Vorrat, netzpolitik. 
org 07.03.2019 mit Updates). 


Mecklenburg-Vorpommern 


Datenschutzbeauftragter 
kritisiert Polizeigesetzent- 
wurf 


In einer internen Stellungnahme des 
Landesdatenschutzbeauftragten des 
Landes Mecklenburg-Vorpommern (LfDI) 
wird der Gesetzentwurf der Landesre- 
gierung zum neuen Sicherheits- und 
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Ordnungsgesetz (SOG) als teilweise ver- 
fassungs- und europarechtswidrig kri- 
tisiert. Der Entwurf werde den Anforde- 
rungen an klare, präzise Regelungen und 
gute Verständlichkeit nicht gerecht und 
werde es der Polizei kaum möglich ma- 
chen, ihre Aufgaben fehlerfrei zu erfül- 
len. Ende Januar 2019 hatte das Kabinett 
den Gesetzesentwurf gebilligt, welcher 
der Polizei mehr Rechte und Ermittlungs- 
methoden zur Gefahrenabwehr verschaf- 
fen soll. Vor allem an der Onlinedurchsu- 
chung und der Quellen-Telekommunika- 
tionsüberwachung (Quellen-TKÜ) wird 
Kritik geübt. Die Polizei erhielte damit 
das Recht, mit einer Software unbemerkt 
in Computer, Smartphones oder Tablets 
einzudringen sowie Daten und Kommu- 
nikation abzugreifen. Dabei wird die 
Verschlüsselung vieler Chatprogramme 
umgangen. Um an die Geräte zu gelan- 
gen, sollen die Ermittler gemäß dem Ge- 
setzentwurf auch heimlich in Wohnun- 
gen eindringen dürfen. Ein Richter muss 
zustimmen. 

Das Innenministerium will die Befug- 
nisse ausweiten, weil Kriminalität zuneh- 
mend übers oder im Internet begangen 
werde. Onlinedurchsuchung und Quel- 
len-TKÜ sind bisher schon zur Ermittlung 
nach Straftaten erlaubt. Nun sollen die 
BeamtInnen des Landes beides bereits 
zur Gefahrenabwehr nutzen dürfen, also 
bevor eine Straftat geschehen ist. Dem 
LfDI fehlt es an unabhängiger Kontrolle. 
Das Bundesverfassungsgericht hat zum 
BKA-Gesetz im Jahr 2016 entschieden, 
dass schwerwiegende Eingriffe, die tief 
in die Privatsphäre der Betroffenen ein- 
dringen, nur verhältnismäßig sind, wenn 
die Polizei effektiv und unabhängig 
kontrolliert wird. Die Landesregierung 
plane hingegen, dass ein polizeiinterner 
Beauftragter die Ermittler kontrollieren, 
das erlangte Material sichten und auf die 
Einhaltung der Regeln achten soll. Um 
die vom Verfassungsgericht aufgestell- 
ten Anforderungen zu erfüllen, müsse 
der LfDI die Polizei kontrollieren können. 
Dem fehlten jedoch Befugnisse, weil MV 
eine dafür nötige EU-Richtlinie noch 
nicht in Landesrecht überführt habe. 

Aufmerksamkeit widmet die Stellung- 
nahme des LfDI auch dem Kfz-Kenn- 
zeichen-Scannen. Das soll weiterhin 
von den Grenzen bis einschließlich der 
A20 erlaubt bleiben. Das Bundesverfas- 
sungsgericht hatte im Dezember 2018 


das Kennzeichenscannen nur bis maxi- 
mal 30 Kilometer von der Grenzen ent- 
fernt erlaubt und die Regelungen einiger 
Bundesländer für nichtig erklärt (s. u. 
S. 108). Wenn die Polizei Personen und 
ihre Sachen durchsucht, soll sie nach 
dem Entwurf auch auf Speichermedi- 
en und Cloud-Speicher zugreifen dür- 
fen. Weil dies mitunter den Kernbereich 
der geschützten Privatsphäre betreffen 
kann, fordern die Datenschützer, dass 
ein Richter der Speicherdurchsuchung 
zustimmen muss. 

Weitere Kritikpunkte betreffen zum 
Beispiel Videoaufnahmen der Polizei, 
etwa von Demonstrationen, mit Body- 
cams, Drohnen oder Kameras in Ein- 
satzfahrzeugen. Die Videos sollen den 
Plänen zufolge auch unverpixelt als 
Schulungsmaterial für die Polizeiaus- 
bildung genutzt werden. Dies ist für die 
Datenschützer ein klarer Verstoß gegen 
europäisches Datenschutzrecht. Außer- 
dem werden fehlende oder unvollstän- 
dige Lösch- und Prüffristen für Daten be- 
mängelt, was gegen europäisches Recht 
verstieße. 

Grundsätzlich fordert der Daten- 
schutzbeauftragte, bei Verstößen von 
Behörden auch gegen diese tätig werden 
zu dürfen. Zwar kann seine Behörde eine 
andere Behörde zum Beispiel anweisen, 
bestimmte Daten zu löschen. Durchset- 
zen kann er diese Anweisung aber nicht. 
Anders als gegen Firmen oder Privatleute 
darf der Datenschutzbeauftragte keine 
Zwangsgelder gegen öffentliche Stellen 
verhängen. Behörden müssten also nicht 
fürchten, bestraft zu werden, sollten sie 
Rechte von Betroffenen verletzen, be- 
mängeln die Autoren der Stellungnah- 
me. Das Innenministerium wollte sich zu 
den Kritikpunkten nicht näher äußern. 
Die Stellungnahmen zum Gesetzent- 
wurf würden derzeit geprüft (Polizeige- 
setz Mecklenburg-Vorpommern: Kritik 
von Datenschutzbehörde, wwwr.heise. 
de 17.03.2019, Kurzlink: https://heise. 
de/-4338494). 


Niedersachsen 


Polizei baut Fake-Radar- 
falle ab 


AnwohnerInnen in Leeseringen/Kreis 
Nienburg haben eine täuschend echt aus- 
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sehende Blitzer-Attrappe gebaut und an 
die Straße gestellt, weil sie sich ständig 
über Temposünder auf der Bundesstraße 
215 ärgerten. Eine Streifenwagen-Besat- 
zung entdeckte die Anlage Mitte März 
2019 zufällig beim Vorbeifahren. Neben 
einem Kasten der Marke Eigenbau hatten 
die AnwohnerInnen eine echte Kame- 
ra postiert, von der ein Kabel zu einem 
Wohnhaus führte. Ob mit dem Apparat 
tatsächlich Fotos von Temposündern ge- 
macht oder möglicherweise bei Bedarf 
Blitzlichter ausgelöst wurden, wurde 
daraufhin von der Polizei überprüft. Die- 
se fand die handwerkliche Ausführung 
des Self-Made-Blitzers beachtlich. Das 
hinderte sie aber nicht, ein Verfahren 
wegen Amtsanmaßung einzuleiten, was 
mit Geld- oder Freiheitsstrafe bis zu zwei 
Jahren geahndet werden kann. Der Poli- 
zeisprecher bestätigte, dass auf der B 215 
im Kreis Nienburg vielerorts zu schnell 
gefahren wird, weshalb Polizei und Land- 
kreis häufig mit mobilen Messanlagen 
unterwegs seien. Wohl aus Ärger darüber 
hatte ein Autofahrer in Nienburg eine sol- 
che Messanlage demoliert; diesen erwar- 
tetnun ein Strafverfahren. 
Blitzer-Attrappen sorgen immer wieder 
für Aufsehen. So stellte eine Bürgeriniti- 
ative Dezember 2018 in Isernhagen in der 
Region Hannover einetäuschend echt wir- 
kende Blitzersäule auf. Aus Sicht der Poli- 
zei ist gegen die Säule nichts einzuwen- 
den, da sie auf einem Privatgrundstück 
steht. Anders erging es einem Tischler in 
Köln, der mit seinen Kindern ebenfalls 
eine Attrappe gebaut und aufgestellt hat- 
te. Ein Gericht bewertete dieses Verhalten 
als strafbar. Auch außerhalb von Nieder- 
sachsen ist die Eigeninitiative beliebt. In 
einem kleinen Dorfbei Travemünde stellte 
ein durch Raser verärgerter Anwohner ei- 
nen unechten „Starenkasten” auf seinem 
Grundstück auf (Ärger über Raser: An- 
wohner stellen Blitzer-Attrappe auf, www. 
goettinger-tageblatt.de 19.03.2019). 


Rheinland-Pfalz 


Weitergabe von Daten über 
Asylsuchende beanstandet 


Die Kreisverwaltung Germersheim hat 
persönliche Daten von 15 Asylbewer- 
benden weitergegeben und dafür zwei 
Verwarnungen des Landesbeauftragten 
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für Datenschutz Rheinland-Pfalz (LfD) 
kassiert. In beiden Fällen habe der Kreis 
eine andere Rechtsauffassung und klag- 
te gegen den Tadel, sagte eine Behör- 
densprecherin am Montag in Germers- 
heim. Nach eigenen Angaben hatte die 
Kreisverwaltung eine zunächst anonyme 
Statistik der als gefährlich eingestuften 
Asylbewerber versehentlich mit Klarna- 
men an das zuständige Ministerium und 
an Abgeordnete gegeben. Obwohl die Be- 
hörde umgehend Schritte gegen die Ver- 
wendung der Informationen unternom- 
men habe, wurde sie vom LfD gerüffelt. 

Die zweite Kritik des Datenschutzbe- 
auftragten betraf eine Umfrage der Kreis- 
verwaltung bei Verbandsgemeinden. 
Anlass war die Anfrage einer Verbands- 
gemeindeverwaltung an den Landrat we- 
gen eines mehrfach auffällig gewordenen 
Asylbewerbers. Der LfD beanstandete, 
dass bereits im ersten Schritt Namen ab- 
gefragt wurden, was nicht notwendig ge- 
wesen sei. Landrat Fritz Brechtel (CDU) 
erklärte: „Es liegt sowohl im Interesse der 
Sicherheit der Bürgerinnen und Bürger 
als auch im Interesse der Rechtsklarheit, 
diese unterschiedlichen Rechtsauffas- 
sungen klären zulassen“. Die Verwaltung 
sei für die Sicherheit der Menschen ver- 
antwortlich - dazu gehöre der Austausch 
von Daten (Streit um Datenschutz für 
Asylbewerber, www.wiesbadener-kurier. 
de, 3. Januarwoche 2019). 


Sachsen 


Polizeigesetz mit mehr Be- 
fugnissen verabschiedet 


Der sächsische Landtag hat am 
10.04.2019 die strittige Reform des 
Polizeigesetzes beschlossen, mit dem 
die Ordnungshüter des Freistaats viele 
neue Befugnisse erhalten. So wird die 
Videoüberwachung deutlich ausgewei- 
tet - vor allem auf Verkehrsrouten, die 
für „grenzüberschreitende Kriminalität” 
zur Verschiebung von Diebesgut genutzt 
werden oder Tatorte des Menschenhan- 
dels sind. Die Polizei darf künftig inner- 
halb eines 30-Kilometer-Korridors ent- 
lang der Grenzen zu Polen und Tsche- 
chien versuchen, Schwerverbrecher mit 
Videoaufnahmen sowie automatischer 
Gesichtserkennungs-Software ausfindig 
zu machen. 


Kommunen können künftig in Eigen- 
regie Maßnahmen zur Videoüberwa- 
chung veranlassen. Scanner für den au- 
tomatisierten Abgleich von Kfz-Kenn- 
zeichen sollen an sächsischen Straßen 
verstärkt eingesetzt werden. Polizisten 
sollen mit Bodycams ausgerüstet wer- 
den. Darauf hatten sich die Regierungs- 
fraktionen von CDU und SPD zuvor 
geeinigt. Ein Kabinettsentwurf wurde 
entsprechend geändert. Den Ermittlern 
soll zudem eine „präventive Telekom- 
munikationsüberwachung” sowie das 
Abbrechen von Mobilfunkverbindun- 
gen mithilfe von Störsendern erlaubt 
und der Einsatz von IMSI-Catchern zur 
Standortermittlung erleichtert werden. 

Die Polizei darf zudem Daten bei In- 
ternetkonzernen wie Amazon, Facebook 
oder Google abfragen. Spezialeinheiten 
etwa zur Terrorabwehr sollen in besonde- 
ren Einsatzsituationen Waffen mit erfor- 
derlicher Reichweite und hoher Durch- 
schlagskraft wie Maschinengewehre 
oder Handgranaten nutzen dürfen. Auch 
nicht-tödliche Munition darf verwen- 
det werden. Elektronische Fußfesseln 
können Gefährdern angebracht werden, 
um Aufenthalts- oder Kontaktverbote 
zu überwachen. Generell soll die Polizei 
vermehrt schon „im Vorfeld einer kon- 
kreten Gefahr“ eingreifen dürfen. Mehr 
Befugnisse zur Abwehr einer „dringen- 
den Gefahr“ sind vorgesehen, wenn „das 
Ausmaß des zu erwartenden Schadens 
und die Wahrscheinlichkeit des Scha- 
denseintritts” besonders hoch sind. 

Nicht durchsetzen konnte sich die 
CDU mit ihren Rufen nach Kompeten- 
zen im polizeilichen Abwehrrecht für 
heimliche Online-Durchsuchungen und 
für den Einsatz von Staatstrojanern zur 
Quellen-Telekommunikationsüberwa- 
chung, die insbesondere auf Messenger- 
Dienste wie WhatsApp zielt. Der sächsi- 
sche Datenschutzbeauftragte Andreas 
Schurig hatte vorab ebenso wie Bürger- 
rechtsorganisationen vor einem „ho- 
hen verfassungsrechtlichen Risiko” vor 
allem durch die unausgereifte, in ihren 
Folgen kaum abschätzbare und ethisch 
nicht vertretbare Gesichtserkennung 
gewarnt. Linke und Grüne lehnten die 
Reform als massiven „Schlag gegen die 
Bürgerrechte” ab, mit dem auch ver- 
mehrt Unverdächtige in die Überwa- 
chungsmaschinerie gerieten. Sie wollen 
beim Verfassungsgerichtshof Klage ein- 
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reichen. In Kraft treten sollen die neuen 
Bestimmungen Anfang 2020 (Krempl, 
Sachsen: Polizei darf Verbrechen mit 
Gesichtserkennung und Handgranate 
bekämpfen, www.heise.de 10.04.2019, 
Kurzlink: https://heise.de/-4374641). 


Sachsen-Anhalt 


Bußgeld gegen Behörden- 
troll wegen nicht versteck- 
ten E-Mail-Empfängern 


Der Landesdatenschutzbeauftragte 
von Sachsen-Anhalt, Harald von Bose, 
hat wegen Datenschutzverstößen durch 
offene E-Mail-Verteiler mehrere Geldbu- 
ßen gegen einen „Behördentroll” aus 
Merseburg festgesetzt. Dieser habe wie- 
derholt Mails mit hunderten personen- 
bezogenen E-Mail-Adressen im offenen 
Verteiler verschickt und die Empfänge- 
rInnen nicht im BCC versteckt. 

Bei den Mails handelte es sich dem- 
nach um Beschwerden, Stellungnah- 
men, Verunglimpfungen sowie um 
Strafanzeigen gegen Vertreter aus Wirt- 
schaft, Presse, Kommunal- und Lan- 
despolitik. Fast täglich seien Mails ver- 
schickt worden, zum Teil an bis zu 1.600 
Adressen. Zwar seien dieInhaltelegitim, 
jedoch nicht der Umgang mit den Daten 
der EmpfängerInnen. Von Bose erläu- 
terte: „Der Mann hat sich uns gegenüber 
immer wieder auf die Meinungsfreiheit 
berufen, aber diese gestattet keine sol- 
chen offenen Verteiler. Der Grund ist, 
dass dadurch ja Rechte Dritter berührt 
werden. Wir waren in dieser Sache sehr 
akribisch, haben jeden einzelnen Ver- 
stoß sehr genau aufgelistet, um das 
Ganze auch gerichtsfest zu machen, 
falls das nötig werden sollte.” 

Die verschiedenen Bußgelder sum- 
mierten sich auf 2.628,50 Euro. Die 
Mitteilung über die Geldbuße wurde 
am 05.02.2019 zugestellt, bereits tags 
drauf ging die Zahlung ein. Möglicher- 
weise wird es weitere Verfahren geben, 
weil der Mann auch nach den Bußgeld- 
bescheiden gegen den Datenschutz ver- 
stoßen haben soll. Gemäß Art. 2 Abs. 2 
lit. c DSGVO findet die Datenschutz- 
Grundverordnung (DSGVO) keine An- 
wendung bei der Datenverarbeitung 
„durch natürliche Personen zur Aus- 
übung ausschließlich persönlicher oder 
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familiärer Tätigkeiten”. Im privaten Um- 
feld wäre demgemäß ein offener E-Mail- 
Verteiler erlaubt. Für die hier prakti- 
zierte Kommunikation außerhalb dieses 


Bereichs galt diese Ausnahme jedoch 
nicht (Greis, Datenschutz: Hohes Buß- 
geld wegen offenen E-Mail-Verteilers, 
www.golem.de 14.02.2019). 


Datenschutznachrichten aus dem Ausland 


Weltweit 


Quartalsbericht Facebook 


Facebook rechnet damit, dass die 
jüngsten von ihm zu verantwortenden 
Datenschutz-Skandale das Plattform- 
Unternehmen bis zu 5 Mrd. Dollar kos- 
ten werden. Im Zusammenhang mit ent- 
sprechenden Ermittlungen der US-Han- 
delsbehörde Federal Trade Commission 
(FTC) legte Facebook im ersten Quartal 
2019 bereits 3 Mrd. Dollar für mögliche 
Strafzahlungen beiseite. Insgesamt 
könne die Belastung auch 5 Mrd. Dollar 
erreichen, erklärte das Unternehmen. 
Auslöser für die Untersuchung war vor 
allem der Skandal um Cambridge Ana- 
lytica. Mit Geldreserven von über 45 
Mrd. Dollar könnte das Unternehmen 
die erwarteten Strafzahlungen leicht 
verdauen. Die Anleger zeigten sich ent- 
spannt nach der Ankündigung im April 
2019: Die Aktie legte im nachbörslichen 
Handel um mehr als 7% zu. Relevanter 
als der Geldbetrag könnten aber die 
Auflagen sein, die die FTC bei Facebook 
durchsetzen kann. 

Die Rückstellung drückte den Gewinn 
im 1. Quartal 2019 auf 2,43 Mrd. Dollar 
nach knapp fünf Mrd. ein Jahr zuvor. 
Der Umsatz stieg im Jahresvergleich 
um 26% auf gut 15 Mrd. Dollar. Nach 
wie vor werden 93% der Werbeerlöse 
auf Mobilgeräten wie Smartphones er- 
wirtschaftet. Die Zahl monatlich akti- 
ver Facebook-Nutzender wuchs binnen 
drei Monaten um rund 60 Millionen auf 
2,38 Mrd. Täglich griffen auf das Online- 
Netzwerk 1,56 Mrd. Nutzende zu - nach 
1,52 Mrd. im Vorquartal. 

Über alle Facebook-Angebote hin- 
weg - einschließlich der Chatdienste 
WhatsApp und Messenger sowie der 
Foto-Plattform Instagram - waren 2,7 
Mrd. Nutzende aktiv, davon 2,1 Mrd. 
täglich. Die Zuwächse stammten vor al- 


lem aus Asien. In Europa legte die Zahl 
der mindestens einmal im Monat akti- 
ven Nutzenden um drei Millionen auf 
384 Mio. zu. Im Jahr 2018 war die eu- 
ropäische Nutzerzahl zeitweise zurück- 
gegangen. Grund dafür war vermutlich 
die Umstellung durch die Datenschutz- 
Grundverordnung DSGVO, bei der neue 
Zustimmungen zur Datenverarbeitung 
eingeholt werden mussten. 

Die Zahl der Beschäftigten wuchs seit 
Jahresbeginn 2019 von knapp 35.600 
auf fast 37.800. Facebook erweitert 
unter anderem ständig die Teams, die 
unerlaubte oder kriminelle Inhalte lö- 
schen. Das Online-Netzwerk stand im 
vergangenen Quartal unter anderem in 
der Kritik, weil das Live-Video des ver- 
heerenden Anschlags auf zwei Mosche- 
en im neuseeländischen Christchurch 
über die Facebook-Plattform gestreamt 
worden war. Facebook-Chef Mark Zu- 
ckerberg bekräftigte, dass er das On- 
line-Netzwerk stärker auf verschlüs- 
selte Kommunikation in Chat-Diensten 
ausrichten wolle und das noch unklare 
Auswirkungen auf das Geschäftsmodell 
haben werde. Die Umstellung sei aber 
ein langer Prozess (Facebook legt Mrd. 
für Strafzahlung beiseite, www.morgen 
web.de 26.04.2019). 


Weltweit 


Amazon analysiert Alexa- 
Sprachinhalte 


Durch die Analyse von aufgenomme- 
nen Sprachbefehlen will Amazon seinen 
Sprachassistenten Alexa verbessern und 
nimmt dafür Zugriff auf die privaten In- 
halte der Nutzenden. Dies wurde von 
dem Konzern bestätigt: „Wir versehen 
nur eine sehr geringe Auswahl an Alexa- 
Sprachaufnahmen mit Kommentaren, 
um das Kundenerlebnis zu verbessern.” 
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Gemäß Presseberichten wird dies an 
mehreren Standorten weltweit erledigt, 
unter anderem in Boston, Costa Rica, 
Indien und Rumänien. Laut zwei Mitar- 
beitenden in Bukarest schlagen sie dort 
pro Schicht bis zu 1.000 Mitschnitte 
um. Ein Mitarbeiter aus Boston sagte, er 
habe zum Beispiel Aufzeichnungen mit 
den Worten „Taylor Swift” analysiert und 
sie mit der Anmerkung versehen, dass 
die Nutzenden die Sängerin meinten. 

Hin und wieder bekämen sie so aber 
auch Zugang zu privaten Inhalten oder 
würden sogar Zeugen von möglicher- 
weise kriminellen Vorgängen. Zwei 
Mitarbeiter berichteten von einem Mit- 
schnitt, den sie als sexuellen Übergriff 
deuteten. Zwei Mitarbeitenden des 
Standorts Bukarest zufolge gilt bei Ama- 
zon in solchen Fällen die Auffassung, 
es sei nicht die Aufgabe des Unterneh- 
mens, einzuschreiten. Laut Aussage von 
Mitarbeitenden werden teilweise auch 
sehr private Audionachrichten in grö- 
ßeren Team-Meetings besprochen. In 
internen Chat-Kanälen würden amüsan- 
te Audioclips geteilt. Sie wiesen darauf 
hin, dass in vielen Aufzeichnungen das 
Schlüsselwort, meistens „Alexa“, fehl- 
te - gemäß einem Mitarbeiter bei etwa 
10% der Audioclips. 

Amazon betonte, man achte bei dem 
Verfahren auf den Schutz der Privat- 
sphäre der Nutzenden. „Beschäftigte 
haben keinen direkten Zugang zu Infor- 
mationen, durch die eine Person oder 
ein Account bei diesem Verfahren iden- 
tifiziert werden können”. Gemäß der Be- 
richte waren jedoch auf einem Screen- 
shot zu einem Transkriptionsauftrag 
eine Accountnummer, der Vorname des 
Nutzers sowie die Seriennummer des 
Geräts aufgeführt gewesen. Der Kon- 
zern erklärte, alle Informationen wür- 
den streng vertraulich behandelt und 
es werde mit Zugangseinschränkungen 
und Verschlüsselung gearbeitet. Bei 
Missbrauch des Systems gelte eine „Null- 
Toleranz-Regel”. Dass Mitarbeitende die 
Audionachrichten abhören, diene dazu, 
die Qualität der Antworten zu verbes- 
sern. Das gelinge, indem die mensch- 
lichen HelferInnen die automatischen 
Transkriptionen, die Sprachassistenten 
von den Anfragen anfertigen, korrigie- 
ren und die verbesserte Antwort an die 
künstliche Intelligenz zurückschicken. 
Im besten Fall kann bei der nächsten 
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ähnlichen Anfrage ein besseres Ergebnis 
ausgeworfen werden. 

Die Konkurrenten Apple und Google 
äußerten sich nicht zur Anfrage, ob sie 
auf eine ähnliche Vorgehensweise bei 
ihren Assistenten Siri und Google Assis- 
tant zurückgreifen. 

Anne Spiegel (Grüne), rheinland- 
pfälzische Verbraucherschutzministe- 
rin und Vorsitzende der Verbraucher- 
schutzministerkonferenz, forderte nach 
Bekanntwerden der Praxis Amazon auf, 
das Abhören von BürgerInnen sofort 
zu stoppen. Zudem müssten die Auf- 
sichtsbehörden für den Datenschutz 
die Nutzungsbedingungen von Amazon 
dringend überprüfen: „Das Abhören 
persönlicher Gespräche in der eigenen 
Wohnung ist ein extremer Eingriffin die 
Persönlichkeitsrechte. Die Betroffenen 
müssen unverzüglich informiert wer- 
den.” Aus Amazons Nutzungsbedingun- 
gen gehe nicht eindeutig hervor, dass 
die Kommunikation mit dem Sprachas- 
sistenten nachträglich von Mitarbeiten- 
den angehört und schriftlich festgehal- 
ten werden könne. 

Die Nutzungsbedingungen für Alexa 
geben tatsächlich keine konkreten Hin- 
weise auf diese Praxis. Es heißt nur, Ale- 
xa verarbeite die Anfragen der Nutzen- 
den „in der Cloud”. In den Privatsphäre- 
Einstellungen des Sprachassistenten 
haben Nutzende die Möglichkeit, der 
Verwendung ihrer Daten zur Weiter- 
entwicklung des Systems zu wider- 
sprechen. Aus den Informationen geht 
bisher allerdings nicht explizit hervor, 
dass unter Umständen auch Menschen 
die Aufzeichnungen des Geräts anhö- 
ren könnten. Wer nicht möchte, dass 
Amazon möglicherweise ihre Fragen an 
den Sprachassistenten abhört, sollte 
so vorgehen: „In den zugehörigen Apps 
der Sprachassistenten für i0S und And- 
roid kann man links oben auf das Menü- 
Symbol klicken, meistens als drei kleine 
Streifen zu erkennen. Unter Einstellun- 
gen/Alexa-Konto/Alexa Datenschutz 
findet man ganz unten die Option ‘Le- 
gen Sie fest, wie Ihre Daten Alexa ver- 
bessern sollen.“ ” Die beiden angebote- 
nen Optionen sollten dann deaktiviert 
werden. Doch will Amazon die KundIn- 
nen davon abhalten: Diese werden ge- 
warnt, dass neue Funktionen bei aus- 
geschalteter Option „möglicherweise 
nicht ordnungsgemäß” arbeiten (Muth, 


Amazon hört zu, wenn jemand unter der 
Dusche Tylor Swift singt, SZ 12.04.2019, 
26; Sprachassistent Amazon wertet Ale- 
xa-Aufnahmen aus, www.tagesschau.de 
13.04.2019; Verbraucherschutzministe- 
rin fordert Stopp des Abhörens über Ale- 
xa, www.heise.de 13.04.2019). 


EU 


DSGVO: Viele Beschwerden, 
bisher wenig Sanktionen 


Im Vorfeld des Datenschutztages 
2019 teilte die EU-Kommission mit, dass 
seit Inkrafttreten der EU-Datenschutz- 
grundverordnung (DSGVO) bis Janu- 
ar 2019 die Datenschutzbehörden der 
EU-Staaten mehr als 95.000 Beschwer- 
den von BürgerInnen erhalten haben. 
Sie berichtete über drei Strafen gegen 
Unternehmen nach der seit Mai 2018 
geltenden DSGVO: In Frankreich wurde 
Google wegen fehlender Zustimmung zu 
Werbung zu 50 Millionen Euro verurteilt, 
in Deutschland ein sozialer Netzwerkbe- 
treiber zu 20.000 Euro wegen fehlender 
Sicherung von Benutzerdaten, und in 
Österreich ein Wettcaf& wegen illega- 
ler Videoüberwachung zu 5.280 Euro. 
Die Leiterin der österreichischen Da- 
tenschutzbehörde und Vorsitzende des 
Europäischen Datenschutzausschusses, 
Andrea Jelinek, bestätigte den öster- 
reichischen Fall. Der Entscheid seinoch 
nicht rechtskräftig, es laufe eine An- 
fechtung vor dem Bundesverwaltungs- 
gericht. Das betroffene Unternehmen 
werde anonym gehalten. Es sei aber 
„kein großer Player”, sagte Jelinek (zu 
Portugal siehe DANA 4/2018, 210; zu 
Deutschland s. 0. S. 88). 

EU-Kommissions-Vizepräsident Frans 
Timmermans erklärte: „Wir sind stolz, 
die strengsten und modernsten Da- 
tenschutzbestimmungen weltweit zu 
haben, die zum globalen Standard wer- 
den.” Der Skandal um Facebook und 
Cambridge Analytica (DANA 4/2018, 
210) und jüngste Verstöße würden 
zeigen, dass die EU den richtigen Weg 
gehe. „Es steht nicht nur der Schutz un- 
serer Privatsphäre auf dem Spiel, son- 
dern auch der Schutz unserer Demokra- 
tien und die Nachhaltigkeit unserer von 
Daten betriebenen Wirtschaft.” Die EU- 
Kommission verwies auch auf jüngste 
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Datenschutzabkommen mit Japan (s. u. 
S. 100). Fünf EU-Staaten haben gemäß 
Kommissionsangaben die Verordnung 
noch nicht vollständig in nationales 
Recht umgesetzt. Sie rief Bulgarien, 
Griechenland, Slowenien, Portugal und 
Tschechien dazu auf, dies so rasch wie 
möglich zu tun (Bisher schon 95.000 
Datenschutz-Beschwerden eingelangt, 
www.tt.com 26.01.2019). 


EU 


Einigung über 
Whistleblower-Schutz 


In der Nacht des 12.03.2019 haben 
sich Unterhändler der EU-Staaten, des 
Europäischen Parlaments (EP) und der 
EU-Kommission auf eine Richtlinie zum 
Schutz von Hinweisgebern geeinigt. 
Künftig sollen etwa ArbeitnehmerIn- 
nen, die Verstöße in ihrem Unterneh- 
men oder ihrer Organisationen offen- 
legen wollen, keine Repressalien mehr 
zu befürchten haben. Nach dem Willen 
der EU-VerhandlerInnen soll niemand 
mehr aus Angst vor Vergeltung abgehal- 
ten werden, seine Bedenken zu äußern. 
Den Vorschlag zur Richtlinie machte die 
EU-Kommission im April 2018. Im No- 
vember positionierte sich das Parlament 
auf Vorschlag von Berichterstatterin 
Virginie Roziere von den französischen 
Sozialisten für einen deutlich stärkeren 
Schutz als ursprünglich von der Kom- 
mission vorgeschlagen. Die EU-Staaten 
blockierten zunächst eine Einigung. 

So hatten sich das deutsche Bundes- 
justizministerium von SPD-Politikerin 
Katarina Barley und weitere Stimmen 
im Rat für ein dreistufiges Verfahren 
ausgesprochen. Danach hätten Whist- 
leblower sich immer zuerst an eine 
interne Stelle in der eigenen Organisa- 
tion wenden müssen und dann an eine 
Aufsichtsbehörde außerhalb, bevor sie 
Informationen nach außen weitergeben 
dürfen. Das Europaparlament hatte hin- 
gegen darauf gedrungen, dass Whist- 
leblowerInnen selbst wählen können, 
wie und wo sie Alarm schlagen. Die er- 
zielte Einigung hält im Prinzip zwar an 
dem dreistufigen Meldeverfahren fest. 
Der Weg über betriebsinterne Kanäle 
ist laut EU-Kommission aber nur vorge- 
schrieben, wenn das Problem so auch 
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tatsächlich „wirksam angegangen” wer- 
den kann und die Hinweisgeber „keine 
Vergeltungsmaßnahmen riskieren”. 
Andernfalls könnten sie sich an die Be- 
hörden wenden. In bestimmten Fällen 
dürfen Whistleblower auch an die Öf- 
fentlichkeit gehen, etwa über Medien. 
Dies wird z. B. erlaubt, wenn Behörden 
nicht angemessen auf einen gemelde- 
ten Missstand reagieren, das öffentliche 
Interesse gefährdet oder das Melden an 
die Behörde aus gewichtigen Gründen 
keine Option ist. Letzteres könne der 
Fall sein, wenn die betroffene Behörde 
und der Straftäter Absprachen getroffen 
haben. 

Ohne Whistleblowing wären Enthül- 
lungen wie die Lux Leaks oder die Pana- 
ma Papers wohl nie an die Öffentlichkeit 
gelangt. Mit ihren Hinweisen deckten 
die InformantInnen Missstände auf und 
stießen eine weltweite Debatte über 
Steuergerechtigkeit an. EU-Kommissi- 
onsvizepräsident Frans Timmermans: 
„Whistleblower tun das Richtige für die 
Gesellschaft und sollten von uns ge- 
schützt werden, damit sie dafür nicht 
bestraft, entlassen, degradiert oder vor 
Gericht verklagt werden.” EP-Abgeord- 
nete begrüßten die Einigung. Die Län- 
der, die eine Einigung blockiert hätten, 
seien von der Zivilgesellschaft und NGOs 
zu einer Lösung bewegt worden, so de- 
ren Chefverhandlerin Roziöre. 

Die Nichtregierungsorganisation 
Transparency International bezeichne- 
te das Verhandlungsergebnis als „his- 
torisch“. Der Deutsche Gewerkschafts- 
bund reagierte ebenso positiv: „Eine 
solche Regelung macht es wahrscheinli- 
cher, dass Wirtschaftsskandale mit Hilfe 
von integren und mutigen Beschäftig- 
ten ans Licht kommen und diese gleich- 
zeitig vollen Schutz genießen.” Anwen- 
dungsfälle für die neue Regelung wer- 
den voraussichtlich Verstöße gegen EU- 
Recht bei Geldwäsche, Unternehmens- 
besteuerung, Daten- und Umweltschutz 
sowie Lebensmittelsicherheit sein. Die 
EU-Staaten und das Europäische Parla- 
ment müssen die Einigung noch formell 
bestätigen. Anschließend müssen die 
Mitgliedsländer die neuen Regeln in na- 
tionales Recht umwandeln. EU-Justiz- 
kommissarin Vera Jourovä sprach von 
einem „ausgewogenem System“. Arbeit- 
geber würden ermutigt, Probleme in- 
tern zulösen. Hinweisgeber hätten auch 


andere Möglichkeiten - „ohne Angst 
vor Vergeltung haben zu müssen”. Der 
grüne Europaabgeordnete Sven Giegold 
ergänzte: „Whistleblower bekommen in 
Europa künftig den Schutz, den sie ver- 
dienen” (Mühlauer, Recht zum Alarm 
schlagen, SZ 13.03.2019, 18; Fanta, 
EU-Verhandler einigen sich auf mehr 
Schutz für Whistleblower, netzpolitik. 
org 13.03.2019; zum Schutz von Whist- 
leblowern nach deutschem Recht s. o. 
S. 86). 


EU 


EDPS überprüft behördliche 
Microsoft-Nutzung 


Der Europäische Datenschutzbeauf- 
tragte (European Data Protection Super- 
visor - EU-Datenschutzbehörde EDPS) 
untersucht gemäß einer Mitteilung vom 
08.04.2019, ob die Verträge der EU- 
Dienststellen mit Microsoft der seit Ende 
2018 geltenden Datenschutzgrund- 
verordnung (DSGVO) entsprechen. Die 
Institutionen der EU nutzen Microsofts 
Produkte und Dienstleistungen für die 
alltägliche Arbeit. Dabei werden große 
Mengen an persönlichen Daten verar- 
beitet. Der EDPS will zunächst erfassen, 
welche Produkte und Dienstleistungen 
von Microsoft bei der EU im Einsatz 
sind. Dann will die Datenschutzbehörde 
feststellen, ob die zugrundeliegenden 
vertraglichen Regelungen den Anforde- 
rungen der DSGVO entsprechen. 

Mit derDSGVO sind Dienstleister selbst 
für den Datenschutz verantwortlich. 
Der stellvertretende EU-Datenschutz- 
beauftragte Wojciech Wiewiörowski 
erläuterte: „Allerdings bleiben die EU- 
Institutionen für Datenverarbeitungen 
in ihrem Namen verantwortlich, wenn 
sie auf Dienstleister zurückgreifen. Sie 
sind darüber hinaus verpflichtet sicher- 
zustellen, dass die vertraglichen Abma- 
chungen den Regeln entsprechen.” 

Der EDPS verweist auf eine im Novem- 
ber 2018 veröffentlichte Untersuchung 
des niederländischen Justizministeri- 
ums, die beim Einsatz der Enterprise- 
Version von Microsoft Office in Behörden 
zahlreiche Verstöße gegen die DSGVO 
festgestellt hatte. Ein Befund war dem- 
nach, dass Microsoft Office „systema- 
tisch Daten in großem Umfang“ erfasse, 
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„ohne die Nutzer darüber zu informie- 
ren“. Auch hätten die Nutzenden keine 
Kontrolle über Art und Umfang der Da- 
tennutzung (Briegleb, DSGVO: Daten- 
schützer untersucht EU-Verträge mit 
Microsoft, www.heise.de 09.04.2019, 
Kurzlink: https://heise.de/-4367881). 


EU 


Trilog: der EU-Ausweis mit 
obligatorischen Fingerab- 
drücken 


Die Verhandlungsführenden des EU- 
Parlaments, des Ministerrats und der EU- 
Kommission haben sich am 19.02.2019 
im Trilog auf eine neue Verordnung für 
sicherere Dokumente für den Identi- 
tätsnachweis geeinigt. Darin wird künf- 
tig vorgeschrieben, dass zwei digitale 
Fingerabdrücke in neu ausgestellten 
Ausweispapieren enthalten sind. Zu- 
griff auf die erweiterten biometrischen 
Daten sollen insbesondere Polizei, Zoll, 
Steuerfahndung und Meldebehörden 
erhalten. Bisher sind Fingerabdrücke 
nur im Reisepass verpflichtend. Die EU- 
Kommission hat schon im April 2018 
eine „Verordnung zur Verbesserung der 
Sicherheit von Personalausweisen und 
Aufenthaltstiteln für EU-Bürger und 
ihre Familienangehörigen” vorgeschla- 
gen. Darin werden verschiedene Maß- 
nahmen vorgeschlagen, um die in der 
EU kursierenden Personalausweise zu 
vereinheitlichen. 

Bisher sind die Ausweise der Euro- 
päerInnen ziemlich unterschiedlich. 
Untersuchungen zufolge sind in den 
Mitgliedstaaten der Union bisher min- 
destens 86 verschiedene Personalaus- 
weise mit oftmals unterschiedlichen 
Sicherheitsmerkmalen im Umlauf. Fin- 
gerabdrücke sind in zehn Ländern ver- 
pflichtend. In Deutschland können die 
Menschen selbst entscheiden, ob sie auf 
dem Ausweis ihre Fingerabdrücke hin- 
terlegen wollen. Bei der Antragstellung 
muss für den elektronischen Personal- 
ausweis bisher lediglich ein Gesichtsbild 
geliefert werden, das als biometrisches 
Merkmal auf dem RFID-Chip des Doku- 
ments gespeichert wird. 

Die EU-Gremien einigten sich zudem 
gemäß dem Vorschlag der EU-Kommis- 
sion auf optische Angleichungen: Alle 


98 


Ausweise sollen im Kreditkartenformat 
ausgestellt werden und die europäi- 
sche Flagge zeigen. Dazu kommen wird 
eine maschinenlesbare Zone. Insge- 
samt müssen die Mindeststandards für 
Sicherheit der Internationalen Zivilen 
Luftfahrtorganisation (ICAO) eingehal- 
ten werden. 

Der Europäische Beauftragte für den 
Datenschutz Giovanni Buttarelli stell- 
te zuvor in einem Gutachten fest, dass 
die Neuregelung bis zu 370 Millionen 
EU-BürgerInnen betreffen könnte; an- 
gesichts dieser Zahlen müsse das Daten- 
sammeln besonders gut begründet wer- 
den. Das aber geschehe im Entwurf nur 
unzureichend. Die Europäische Grund- 
rechteagentur (FRA) wies darauf hin, 
dass die Grenzschutzagentur Frontex 
in den Jahren 2013 bis 2017 lediglich 
knapp 39.000 gefälschte Personalaus- 
weise ermittelt hat; die Zahl derjenigen, 
die mit gefälschten Papieren aus Dritt- 
ländern einreisen wollten, sei rückläu- 
fig. Die Kommission selbst hatte in ih- 
rer Folgenabschätzung, die mit jedem 
Gesetzesvorschlag veröffentlicht wird, 
eine Kombination aus biometrischer 
Aufnahme des Gesichts und freiwilligen 
Fingerabdrücken für ausreichend er- 
achtet. 

Ältere Ausweise, die den Vorgaben 
nicht entsprechen, sollen spätestens 
nach zehn Jahren ungültig werden. Für 
über 70-Jährige gelten längere Über- 
gangsfristen. Ausweise für Kinder, die 
ebenfalls mit Fingerabdrücken verse- 
hen werden müssen, sollen weniger als 
fünf Jahre gelten. Die neuen Vorgaben 
sollen nach zwei Jahren direkt in allen 
Mitgliedsstaaten in Kraft treten. 

Zuvor war im Europäischen Parla- 
ment Widerstand gegen die geplante 
Verordnung angekündigt worden. Vor 
allem Abgeordnete der Grünen, der So- 
zialdemokraten und der Linken wollen, 
dass es weiterhin den jeweiligen Mit- 
gliedstaaten überlassen bleibt, ob sie 
Fingerabdrücke verlangen oder nicht. 
Sylvia-Yvonne Kaufmann (SPD), die für 
die Sozialdemokraten im EU-Parlament 
die Verhandlungen zu dem Thema führt, 
sagte, sie unterstütze zwar europa- 
weit höhere Sicherheitsstandards für 
Personalausweise. „Die verpflichtende 
Speicherung der Fingerabdrücke ist je- 
doch nicht verhältnismäßig und nicht 
notwendig.” Ihr zufolge hätten die In- 


nenminister bei dem Thema „über die 
Bande“ gespielt: „Schließlich ist es für 
die Innenminister letztlich bequemer, 
über die EU-Ebene Entscheidungen her- 
beizuführen, statt sich zu Hause in den 
Mitgliedstaaten der öffentlichen Dis- 
kussion zu stellen.” Ebenso befürchtet 
der grüne EU-Abgeordnete Sven Gie- 
gold, dass damit die „Datensammelwut 
befeuert” wird. Polizei und Sicherheits- 
behörden in Europa verknüpften immer 
mehr Daten, wobei unklar bleibe, „wer 
warum auf Fingerabdrücke zugreift”. 
Aus Bürgerrechtskreisen wird befürch- 
tet, dass faktisch eine biometrische 
Superdatenbank mit der Verknüpfung 
zahlreicher Informationssysteme im 
Sicherheitsbereich errichtet wird. Mit 
dem Verschmelzen der Datentöpfe dürf- 
te ein „Bevölkerungs-Scanner” entste- 
hen, der je nach politischer Wetterlage 
gegen unliebsame Personengruppen 
eingesetzt werden könnte. 

Rumänien Innenministerin Carmen 
Daniela Dan, die für die rumänische 
Ratspräsidentschaft die Verhandlungen 
leitete, lobte den Kompromiss: „Die neu- 
en Regeln für Sicherheitsstandards für 
Ausweispapiere werden es uns erleich- 
tern, Dokumentenbetrug und Identi- 
tätsdiebstahl aufzudecken und Terro- 
risten und Kriminellen das Handwerk 
erschweren.” Stephan Mayer (CSU), 
Staatssekretär im BMI, begrüßte die 
Regelung als „erheblichen Sicherheits- 
gewinn“. Auch Bundesinnenminister 
Horst Seehofer (CSU) erklärte die Ein- 
führung des Fingerabdrucks für „zwin- 
gend erforderlich”. Es gebe gemäß sei- 
nem Ministerium einen „zunehmenden 
Missbrauch echter Dokumente durch 
ähnlich aussehende Personen”. Die Da- 
ten sollen nicht zentral, sondern nur im 
Chip des Personalausweises gespeichert 
werden. Aus der SPD ist zu hören, dass 
diese Art der Speicherung ein Kompro- 
miss gewesen sei. Eigentlich habe man, 
anders als der Koalitionspartner, Vorbe- 
halte gegen den Fingerabdruck gehabt. 
Auch das Bundesinnenministerium 
spricht hier von einer „Ausgleichsmaß- 
nahme“. 

Die Grünen halten die Einführung der 
Pflicht-Abdrücke für „hochproblema- 
tisch”. Ihr Vize-Fraktionsvorsitzender 
Konstantin von Notz sagte, es hande- 
le sich „um eine drastische Überbie- 
tung der nationalen Rechtslage, die im 
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Gesetzgebungsverfahren auch schon 
hochumstritten und verfassungsrecht- 
lich bedenklich war“. Im Jahr 2008 hat- 
te die damalige SPD-Justizministerin 
Brigitte Zypries die Verpflichtung noch 
gekippt, weil sie ein „Eingriff in die 
Grundrechte der Menschen” sei (vgl. 
DANA 2/2008, 75 £.). 

Das Bundesinnenministerium meint 
dagegen, die verfassungsrechtlichen 
Bedenken seien ausgeräumt. Und der 
innenpolitische Sprecher der Union Ma- 
thias Middelberg erklärte: „Die Grünen 
sollten ihren reflexhaften Widerstand, 
den sie schon unter Otto Schily gegen 
diesen Vorschlag gehegt und gepflegt 
haben, aufgeben.” Die Fingerabdrücke 
auf dem Reisepass, die bereits verpflich- 
tend sind, seien gut geschützt (Beisel/ 
Szymanski, Fingerabdrücke in Personal- 
ausweisen, SZ 20.02.2019, 1; Krempl, 
EU-Gremien einig: Fingerabdrücke in 


Personalausweisen werden Pflicht, 
www.heise.de 20.02.2019, Kurzlink: 
https://heise.de/-4313534;  Beisel/ 


Ludwig, 370 Millionen Mal Daumen drü- 
cken, SZ 11.02.2019, 2). 


EU 
Entry/Exit System kommt 


Bayerns Innenminister Joachim 
Herrmann (CSU) forderte nach einer 
USA-Reise, nach amerikanischem Vor- 
bild auch in Europa „ein umfassendes 
Registrierungssystem für alle Ein- und 
Ausreisen” zu schaffen. Die EU brau- 
che dringend ein solches Ein- und 
Ausreiseregister. Von Leuten, die mit 
Touristenvisum einreisen, „weiß heute 
kein Mensch, ob der nach drei Monaten 
auch irgendwo wieder ausreist oder wo 
er sich gerade aufhält.” Das sei „schon 
aus Sicherheitsgründen unerträglich”. 
Herrmann wusste wohl nicht, dass die 
Europäische Union (EU) für den Schen- 
gen-Raum derzeit ein solches System 
aufbaut. Bereits Ende 2017 trat eine 
Verordnung über ein solches Entry/Exit 
System (EES) in Kraft. Demnach soll in 
der Regel bei Einreisenden, die nicht 
BürgerInnen von EU- oder anderen 
Schengen-Staaten sind und für kürzere 
Aufenthalte nach Europa kommen, ein 
Dossier mit Foto und persönlichen Da- 
ten angelegt werden. Auch die Ausreise 
wird dann darin registriert. Spätestens 


DANA ® Datenschutz Nachrichten 2/2019 


2021 soll das EES an den Außengren- 
zen des Schengen-Raums im Einsatz 
sein. Anfang Februar 2019 einigten sich 
Kommission, Rat und Parlament der EU 
aufein Konzept, wie das EES und andere 
europäische Datenbanken miteinander 
verknüpft werden sollen (Registrierter 
Exit, SZ 11.02.2019, 2; s. u.). 


EU 


Biometrie-Superdatenbank 
beschlossen 


Das EU-Parlament hat am 16.04.2019 
ein Prestigeprojekt von Ex-Bundes- 
innenminister Thomas de Maiziere 
(CDU) und EU-Sicherheitskommissar 
Julian King befürwortet. Gemäß zwei 
beschlossenen Verordnungsentwürfen 
zur „Interoperabilität” sollen sämtliche 
EU-Datenbanken in den Bereichen Si- 
cherheit, Grenzmanagement und Mig- 
rationssteuerung miteinander verzahnt 
werden. Zugleich kann die biometrische 
Überwachung der Bevölkerung und Ein- 
reisender deutlich ausgebaut werden. 

Über ein Suchportal sollen das 
Schengen-Informationssystem _(SIS) 
mit rund 80 Millionen Einträgen, das 
Visa-Informationssystem (VIS) und 
Eurodac, wo vor allem Fingerabdrücke 
von Asylsuchenden gespeichert wer- 
den, verknüpft werden. Hinzukommen 
sollen das neue Ein- und Ausreisesys- 
tem zur biometrischen Grenzkontrolle 
(Smart Borders, EES, s. 0.) sowie das 
Europäische Reisegenehmigungssystem 
(ETIAS). Ermöglicht werden soll so ein 
Abgleich der vorhandenen Daten „mit 
einem einzigen Klick“. Grenzschutz 
und Polizei könnten künftig etwa Aus- 
weise einfacher überprüfen, indem sie 
alle EU-Informationssysteme auf einem 
Bildschirm gleichzeitig abfragen. 

Auch ein übergeordneter „Speicher 
für Identitätsdaten” ist für Angehörige 
von Drittstaaten vorgesehen. Einfließen 
sollen Informationen wie Geburtsda- 
tum, Passnummer, Fingerabdrücke oder 
digitale Gesichtsbilder. Dazu kommt ein 
„gemeinsamer Dienst” für den Abgleich 
biometrischer Daten, mit dem anhand 
von Fingerabdrücken und Gesichtsbil- 
dern alle bestehenden Informationssys- 
teme abgefragt werden können. Darüber 
hinaus soll ein „Detektor für Mehrfachi- 


dentitäten“ für eine „unverzügliche 
Kennzeichnung aller Personen” sorgen, 
„die mehrere oder falsche Identitäten 
verwenden“. 

Bürgerrechts- und Datenschutzor- 
ganisationen haben massive Bedenken 
gegenüber diesen Plänen. Die britische 
Organisation Statewatch sieht darin 
eine schleichende massive Ausweitung 
der Befugnisse der Sicherheitsbehör- 
den, für die der Big-Brother-Vergleich 
nicht übertrieben sei. Die zivilgesell- 
schaftliche Instanz hat daher eine Be- 
obachtungsstelle im Netz eingerichtet, 
in der sie über den Fortgang informiert 
(www.statewatch.org/interoperability/ 
eu-big-brother-database.htm). Der 
EU-Datenschutzbeauftragte Giovanni 
Buttarelli warnte vor einem Punkt in 
der Sicherheitsarchitektur, „an dem es 
kein Zurück gibt”. Mit dem weiteren 
Zusammenwachsen der skizzierten Da- 
tenbanken würden bisherige rechtliche 
Prinzipien wie die Zweckbestimmung 
abgeschafft. Eine zentrale Datenbank 
für Strafverfolger und Geheimdienste 
erhöhe das Missbrauchsrisiko - nicht 
nur durch Hacker, sondern auch durch 
rechtmäßige Nutzer. Der Gesetzgeber 
vermische die Grenzen zwischen Mig- 
rationsmanagement und dem Kampf 
gegen schwere Verbrechen und Terro- 
rismus. Ähnlich haben sich die Daten- 
schutzbeauftragten der EU-Länder zu 
Wort gemeldet. Der linke Bundestags- 
abgeordnete Andrej Hunko fürchtet gar, 
dass mit dem Verschmelzen der polizei- 
lichen Datentöpfe ein „Bevölkerungs- 
Scanner” entsteht. Schon jetzt nutzen 
immer mehr Sicherheitsbehörden die 
Möglichkeit, über das SIS Verdächti- 
ge grenzüberschreitend heimlich zu 
überwachen: Waren darin Anfang 2016 
noch 69.520 Personen zur sogenannten 
verdeckten Fahndung eingetragen, war 
die Zahl bis zum Juli 2018 auf 144.742 
gestiegen. 

Mit diesem undurchsichtigen Ins- 
trument erfährt die ausschreibende 
Behörde etwa bei einer polizeilichen 
Verkehrskontrolle oder einem Grenz- 
übertritt, wohin eine betroffene Person 
wann und mit wem gereist ist. Ermittler 
oder Geheimdienste können die Daten 
speichern und zu umfassenden Bewe- 
gungs- und Kontaktprofilen verdich- 
ten. Betroffene erfahren davon in der 
Regel nichts. Nicht zuletzt bekommen 


29 


dadurch auch viele der nach rechts 
abdriftenden Regierungen in Europa 
leichteren Zugriff und können regime- 
kritische wie unliebsame Personen über 
Landesgrenzen hinweg verfolgen. Das 
von den EU-Gremien im Februar 2019 
geschnürte Paket muss noch den Minis- 
terrat passieren, was als Formsache gilt 
(Krempl, Schengen-Überwachung: EU- 
Parlament beschließt Biometrie-Super- 
datenbank, www.heise.de 16.04.2019, 
Kurzlink: https://heise.de/-4400779; 
Krempl, EU plant biometrische Superda- 
tenbank, https://www.heise.de/select/ 
ct/2018/18/1535696151919730). 


EU 


Unfalldatenspeicher soll 
Pflicht werden 


Das Parlament der Europäischen Uni- 
on (EU) hat dem Entwurf einer Verord- 
nung zugestimmt, die sog. Blackboxes, 
die bei Unfällen dokumentieren, was im 
Fahrzeug passiert ist, in Kraftfahrzeu- 
gen (Kfz) zur Pflicht macht. Geht der 
Regelungsvorschlag auch durch den Mi- 
nisterrat, dann müssen Auto-Hersteller 
ab Mai 2022 in neuen Modellen nicht 
nur Alkohol-Wegfahrsperren und Sen- 
soren zur Müdigkeitserkennung ein- 
bauen, sondern auch Blackboxes für 
Unfälle. Die EU-Kommission argumen- 
tiert mit der Sicherheit. Im Jahr 2018 
kamen ihren Angaben zufolge rund 
25.000 Menschen auf Europas Straßen 
ums Leben. Das seien 25.000 zu viel. Mit 
technischer Hilfe soll die Zahl der Ver- 
kehrstoten reduziert werden. 

Die Unfalldatenspeicher registrieren 
u. a. Geschwindigkeit und Einsatz der 
Bremsen. Gespeichert werden diese Da- 
ten im Falle eines Unfalls, zum Beispiel, 
wenn der Airbag ausgelöst wird. Fahrer 
bzw. Fahrzeughalter sollen gemäß dem 
Text des Verordnungsentwurfes nicht di- 
rektidentifiziert werden können. Der Un- 
falldatenspeicher sollte innerhalb eines 
geschlossenen Regelkreises betrieben 
werden, bei dem die gespeicherten Da- 
ten überschrieben werden. Die Systeme 
sollen zur Fahrer-Müdigkeitserkennung 
und -Aufmerksamkeitswarnung sowie 
zur fortgeschrittenen Fahrerablenkungs- 
warnung nur die Daten kontinuierlich 
aufzeichnen und vorhalten, die im Hin- 
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blick auf die Zwecke der Erhebung oder 
anderweitigen Verarbeitung im Rahmen 
des geschlossenen Regelkreises notwen- 
dig sind. 

Der deutsche Bundesdatenschutz- 
beauftragte Ulrich Kelber bezweifelte, 
dass hinreichende Vorkehrungen zur 
Wahrung der Anonymität vorgesehen 
sind und zeigte sich generell skeptisch, 
was das Aufzeichnen von Informationen 
aus Autos und die Transparenz hierzu 
angeht. Es bedürfe gesetzlicher Vorkeh- 
rungen, dass die Daten aus dem Fahr- 
zeug nicht gegen den Fahrer bzw. Inha- 
ber verwendet werden können. Dies sei 
bisher im Entwurf der Verordnung nicht 
gewährleistet. DieVorgaben zum Daten- 
schutz seien nur punktuell (Sachsinger, 
EU will Blackbox fürs Auto einführen, 
www.br.de 18.04.2019). 


EU 


Anonyme Echtheitsprüfung 
von Arzneimitteln 


Am 09.02.2019 ging ein EU-weites 
Schutzsystem mit Sicherheitsmerkmalen 
für Arzneien an den Start. Danach ist vor- 
geschrieben, dass rezeptpflichtige Mittel 
von Herstellerseite einen Barcode aufder 
Verpackung tragen müssen, mit demsich 
in der Apotheke per Scan - in Gegenwart 
der KundIn - die Echtheit überprüfen 
lässt. Ein Siegeletikett soll garantieren, 
dass Schachteln nicht schon aufgemacht 
oder Pillen umverpackt wurden. Mit dem 
neuen Scanner-Schutzsystem sollen ge- 
fälschte Medikamente erkannt werden. 
Manipulierte Arzneimittel sind ein Milli- 
onengeschäft. 

Der Gesundheitsforscher, Gerd Glaes- 
ke, Professor am SOCIUM Forschungs- 
zentrum Ungleichheit und Sozialpo- 
litik der Universität Bremen, hält den 
End-to-End-Code für sehr sinnvoll und 
hilfreich. Apotheken in Deutschland 
seien zwar eher selten von manipulier- 
ten Medikamenten betroffen. Problema- 
tisch sei aber der internationale Handel 
und Online-Handel - „mit Packungen, 
die ganz ähnlich aussehen, wie die der 
Hersteller”. Auch bei Online-Apotheken 
müssen für rezeptpflichtige Medika- 
mente eigentlich Rezepte eingereicht 
werden, so Glaeske: „Was diese Fälscher 
tun und was diese Versandstellen letzt- 


lich dem Kunden anbieten, ist, dass sie 
all diese Medikamente auch ohne Re- 
zepte bekommen. Und das ist der erste 
Hinweis darauf, dass etwas nicht stim- 
men kann.” 

Bei dem neuen Code-Verfahren han- 
delt es sich um ein zweistufiges System, 
über das aber keine Patientendaten wei- 
tergegeben werden. Die Echtheitsprü- 
fung erfolgt über einen Industrieserver, 
der anonymisiert feststellt, ob dieser 
Code tatsächlich ein echter Industrie- 
Code ist. Dazu Glaeske: „Und insofern ist 
dort auch für den Datenschutz gesorgt. 
Ich halte das für eine geglückte Lösung.” 
Panschern in Apotheken könne man 
damit allerdings nicht das Handwerk 
legen. Das neue Sicherheitssystem kann 
nicht verhindern, dass - wie im Fall ei- 
nes Bottroper Apothekers, der in gro- 
ßem Stil Krebsmedikamente gepanscht 
und damit auch Menschenleben gefähr- 
det hat - industriell hergestellte Origi- 
nalmittel vom Apotheker in Rezepturen 
verarbeitet werden, die dann aber nicht 
den Rezepturen entsprechen, wie sie 
vom Arzt vorgesehen gewesen seien 
(Glaeske im Gespräch mit Welty, www. 
deutschlandfunkkultur.de 09.02.2019). 


EU 


Japans Datenschutz ist EU- 
adäquat 


Die EU-Kommission beschloss mit 
Wirkung vom 23.01.2019, dass Japan 
einen dem europäischen Datenschutz- 
Standard entsprechenden Datenschutz 
hat, so dass einem Austausch zwischen 
dem Land und der EU keine regulativen 
Hindernisse entgegen stehen. Die Jus- 
tizkommissarin der EU Vera Jourova er- 
klärte am 22.01.2019 stolz: „Es wird der 
weltweit größte Raum für sicheren Da- 
tenverkehr geschaffen.” Der Beschluss 
ist Bestandteil des Freihandelsabkom- 
mens zwischen Tokio und den 28 Mit- 
gliedstaaten - Großbritannien gehört 
immer noch dazu. Für 508 Millionen 
Menschen in Europa plus 127 Millionen 
in Japan gelten vergleichbare Bestim- 
mungen. Wenn demnächst Strafverfol- 
gungsbehörden auf der fernöstlichen 
Insel Daten von europäischen Staatsbür- 
gern abrufen, dürfen sie diese - genau 
wie innerhalb der EU - ausschließlich 
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für klar umrissene Verdachtsmomente 
nutzen. Der Zugriff muss „erforderlich 
und verhältnismäßig“ sein. Ohne Ein- 
willigung der Betroffenen dürfen Infor- 
mationen auch nicht von japanischen 
Behörden an Drittländer weitergeleitet 
werden. Zusätzliche Garantien, welche 
die japanische Regierung übernehmen 
musste, betreffen den Schutz personen- 
bezogener Daten von EU-Bürgern wie 
etwa die sexuelle Orientierung oder po- 
litische Ausrichtung. 

Der Datenschutz wird als Begleitins- 
trument für die Umsetzung des japa- 
nisch-europäischen Freihandelsabkom- 
mens (Jefta) gebraucht. Dieser Vertrag 
wurde bereits am 17.07.2018 unterzeich- 
net. Er öffnet die Türen nicht nur für ei- 
nen weitgehend zollfreien Handel, son- 
dern auch für digitale Dienstleistungen 
und Finanzinformationen. Überall dort 
fallen personenbezogene Informationen 
an, die aber den europäischen Standards 
unterliegen. So bleiben die Rechte der 
EU-BürgerInnen an ihren Daten auch 
dann erhalten, wenn sie in Japan ge- 
nutzt werden. Für den Fall, dass es zum 
Missbrauch kommen sollte, hat Tokio 
mit der Personal Information Protection 
Commission (PCC) eine unabhängige 
Aufsichtsbehörde geschaffen, die ähn- 
lich wie in Deutschland die Landes- und 
Bundesbeauftragten für Datenschutz bei 
Einsprüchen zuständig ist. 

Der Adäquanzbeschluss zu Japan geht 
über das für den Transfer zwischen der 
EU und USA geltende „Privacy Shield” 
hinaus. Die EU macht damit gegenüber 
weiteren möglichen Partnern künftiger 
Freihandelsverträge wie beispielsweise 
den Staaten des asiatisch-pazifischen 
Raums klar, dass alle Vereinbarungen 
mit Europa nicht hinter diesen Daten- 
schutz-Standard zurückfallen dürfen. 
Derart ist die Datenschutz-Grundver- 
ordnung auf dem Weg, zu einem globa- 
len Standard zu werden, zumindest für 
jene, die sich als Partner Europas ver- 
stehen. Für die Unternehmen, so beton- 
te die Kommission, sei dies ein „großer 
Vorteil”: Schließlich könnten sich alle, 
die mit Japan und mit der EU Geschäf- 
te machen, auf die gleichen Schutz- 
vorschriften einstellen. Das werde den 
Handel erleichtern und in den Betrie- 
ben Klarheit schaffen (Drewes, Japan 
übernimmt europäische Datenschutz- 
Standards. www.noz.de 23.01.2019). 
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Österreich 


Löschen ist auch 
Anonymisieren, nicht nur 
Vernichten 


Gemäß einer Entscheidung der öster- 
reichischen Datenschutzbehörde (DSB) 
genügt es für die Umsetzung des in der 
Datenschutz-Grundverordnung (DS- 
GVO) verbrieften Rechts auf Löschung 
personenbezogener Daten, dass die 
Daten anonymisiert werden, d. h. dass 
der Personenbezug aus einem Daten- 
satz entfernt wird. Im Juli 2018 hatte 
ein Österreicher von seiner ehemali- 
gen Versicherung verlangt, alle über 
ihn gespeicherten Daten unverzüglich 
zu löschen. Die Versicherung löschte 
E-Mail-Adresse, Telefonnummer sowie 
Angaben über ein einst erbetenes Ver- 
sicherungsangebot und stoppte alle 
Werbezusendungen. Name und Adresse 
wurden allerdings durch „Max Muster- 
mann” mit einer Musteradresse ersetzt, 
und Informationen über zwei frühere 
Versicherungsverträge blieben offenbar 
erhalten. Eine endgültige Vernichtung 
aller Daten wurde erst für März 2019 in 
Aussicht gestellt. Der Kunde bestand 
aber auf einer sofortigen Löschung und 
beschwerte sich bei der Datenschutzbe- 
hörde, die zugunsten der Versicherung 
entschied (Az. DSB-D123.270/0009- 
DSB/2018). 

Artikel 17 DSGVO gewährt ein Recht 
auf Löschung personenbezogener Da- 
ten. Artikel 4 Nr. 2 DSGVO weise darauf 
hin, dass Löschung und Vernichtung 
nicht identisch seien, da beide Begriffe 
nebeneinander aufgeführt werden. Es 
liege im Ermessen des Verantwortlichen 
der Datenverarbeitung, die Löschme- 
thode zu bestimmen: „Es muss jedoch 
sichergestellt werden, dass weder der 
Verantwortliche selbst, noch ein Dritter, 
ohne unverhältnismäßigen Aufwand ei- 
nen Personenbezug wiederherstellen 
kann.” Der Versicherung hat in diesem 
Fall geholfen, dass sie auch keine Log- 
dateien mehr hatte, über die die Ano- 
nymisierung wieder hätte ausgehebelt 
werden können. Die Behörde forderte 
nicht, dass die Anonymisierung nie- 
mals rückgängig gemacht werden kann: 
„Eine Löschung liegt dann vor, wenn 
die Verarbeitung und Nutzung der per- 


sonenbezogenen Daten (...) nicht mehr 
möglich ist. Dass sich zu irgendeinem 
Zeitpunkt eine Rekonstruktion (etwa 
unter Verwendung neuer technischer 
Hilfsmittel) als möglich erweist, macht 
die ‚Löschung durch Unkenntlichma- 
chung’ nicht unzureichend. Eine völlige 
Irreversibilität ist daher (...) nicht not- 
wendig“ (Sokolov, Datenschutz in Öster- 
reich: Löschen heißt nicht unbedingt 
vernichten, www.heise.de 11.02.2019, 
Kurzlink: https://heise.de/-4303367). 


Österreich 


Regierung plant „digitales 
Vermummungsverbot” im 
Netz 


Die Bundesregierung in Österreich will 
mit einem Gesetz gegen Hass im Netz 
vorgehen. Das umstrittene Projekt zielt 
darauf ab, die Anonymität im Netz ein- 
zuschränken. Justiziable Hass-Postings 
sollen strafrechtlich besser verfolgt wer- 
den können. Anwendbar sollen die Pläne 
insbesondere auf soziale Netzwerke so- 
wie Zeitungsforen sein, deren Nutzende 
sich noch nicht identifizieren müssen. 

Der Entwurf wurde am 10.04.2019 im 
Ministerrat (so heißt in Österreich das 
Bundeskabinett) behandelt und ab- 
gesegnet. Regierungsintern läuft das 
im Kanzleramt ausgearbeitete Projekt 
als „digitales Vermummungsverbot”: 
Die User können demnach weiter unter 
Pseudonym posten, doch die Plattfor- 
men müssen die Identität der Nutzer 
kennen und sie gegebenenfalls an Straf- 
verfolgungsbehörden herausgeben. Dem 
Vernehmen nach dürfte es auf eine Re- 
gistrierungspflicht per Handynummer 
hinauslaufen. Mit dem Gesetz soll laut 
Medienminister Gernot Blümel (ÖVP) 
verhindert werden, dass sich Menschen 
bei Straftaten „in der Anonymität des In- 
ternets verstecken können”. Was in der 
analogen Welt geahndet werde, müsse 
auch Folgen in der digitalen Welt haben. 

Die Pläne zielen auf Seiten, die auf 
den Alpenstaat ausgerichtet sind, mit 
mehr als 100.000 Nutzenden, Seiten 
mit einer Presseförderung von mehr 
als 50.000 Euro in einem Kalenderjahr 
sowie Seiten mit einem in Österreich 
erzielten Umsatz von mehr als 500.000 
Euro pro Jahr. Neben Nachrichtenwebsi- 
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tes wie „Der Standard“ und „Die Presse” 
wären fast alle großen US-Plattformen 
wie Facebook, Twitter und YouTube be- 
troffen - Seiten, auf denen die Nutzen- 
den bisher meist nur Namen und E-Mail- 
Adressen hinterlegt haben. 

Sollte dem Gesetz zugestimmt werden, 
müssten die Tech-Konzerne künftig die 
Adressen der österreichischen Nutzen- 
den sammeln und per Ausweis-Check 
oder mit einem ähnlichen Verfahren 
überprüfen. Wer sich als Websitebetrei- 
ber nicht daran hält, soll mit Bußgeldern 
von bis zu einer Million Euro bestraft 
werden. Ausgenommen von der Sammel- 
pflicht werden Onlineplattformen, auf 
denen Waren verkauft oder getauscht 
werden. Wie betroffene Unternehmen 
ihre Dienste im Detail umgestalten wür- 
den, damit sie dem Gesetz entsprechen, 
ist unklar. Facebook, Google und Twitter 
haben hierzu auf Anfrage bisher keinen 
Kommentar abgegeben. 

Unter den Zeitungsforen würde die 
künftige Regelung sich vor allem auf 
den regierungskritischen „Standard“ 
auswirken. Dessen Diskussionsplatt- 
form ist die größte Österreichs mit bis 
zu 40.000 Kommentaren am Tag. In der 
Redaktion stößt die Initiative auf Un- 
verständnis, so Gerlinde Hinterleitner, 
Community-Leiterin beim Standard: 
„Shitstorms und Hass-Postings finden 
in der Regel nicht bei uns statt, eher 
bei Facebook und Twitter” Dies sei so, 
obwohl die meisten dort nicht unter 
Klarnamen posten und nicht immer 
nachvollziehbar ist, wer hinter den Äu- 
ßerungen steckt. Gegen Störenfriede 
gehe man sofort vor. 

Bei der Kronen-Zeitung, dem aufla- 
genstärksten Blattin Österreich, äußert 
man dagegen Verständnis für den Plan 
der Regierung. Michael Eder, Geschäfts- 
führer der digitalen Krone, schlägt aller- 
dings einen weiteren Schritt vor: „Um 
den Schutz der Daten jedes Einzelnen 
sicherzustellen, plädieren wir für eine 
zentrale Clearingstelle”. Diese Stelle 
könnte sicherstellen, „dass jene Daten, 
die zur Ausforschung betroffener Per- 
sonen dienen können, nicht in unseren 
Händen, sondern von einer unabhängi- 
gen Institution zentral gespeichert und 
verwaltet werden und nur per Gerichts- 
beschluss erhoben werden dürfen.” 

Der österreichische IT-Anwalt Walter 
Korschelt sagte, er begrüße zwar, dass 
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etwas gegen Hasskommentare im Netz 
unternommen werde. Doch die Hürde, 
sich samt Adresse bei Onlineportalen 
anzumelden, gelte eben nicht nur für 
beleidigende Nutzende, sondern für alle 
Menschen in Österreich. Der Rechtsex- 
perte hält die Identifizierungspflicht für 
fragwürdig: „Wenn ich im echten Leben 
meine Meinung äußere, muss ich vorher 
auch nicht meinen Ausweis vorlegen.” 
Korschelt kritisiert, dass mit dem Ge- 
setz zu viel Verantwortung an Facebook 
und Co. übertragen werde. Denn laut 
dem Entwurf sollen nicht nur Behörden 
bei Bedarf Adressen anfordern können, 
sondern auch Privatpersonen. Die Be- 
dingung: Der Antragsteller muss nach- 
weisen können, dass er einen Nutzer 
aufgrund eines Kommentars anzeigen 
möchte. „Der Staat verlagert die Aufga- 
be der Gerichte, herauszufinden, ob et- 
was strafbar ist, auf private Dienstleister 
aus.” Das könne dazu führen, „dass auch 
private Daten herausgegeben werden, 
die strafrechtlich nicht relevant sind”. 
Man müsse abwarten, ob das mit der EU- 
Datenschutzgrundverordnung (DSGVO) 
vereinbar sei. Denn darin stehe, so Kor- 
schelt, dass grundsätzlich so wenige Da- 
ten wie nötig gesammelt werden sollen. 

Bürgerrechtler des österreichischen 
Vereins Epicenter Works gehen noch ei- 
nen Schritt weiter. Sie sehen in dem Ge- 
setz einen „Frontalangriff auf das Mit- 
mach-Internet”: „Dieses Gesetz verfehlt 
sein eigentliches Ziel und bringt einen 
enormen Kollateralschaden für unseren 
demokratischen Diskurs.” Whistleblo- 
wer und Minderheiten würden dadurch 
bedroht, dass ihr Name und ihre An- 
schrift für Privatanklagedelikte an Drit- 
te herausgegeben werden müssten. 

Der Plan für ein „digitales Vermum- 
mungsverbot” war von der konserva- 
tiven ÖVP von Bundeskanzler Sebas- 
tian Kurz forciert worden. Bei seinem 
Koalitionspartner FPÖ war man wenig 
begeistert. Die Rechtspopulisten pro- 
fitieren seit Jahren davon, dass ihre 
Anhängerschaft im Netz anonym Stim- 
mung macht. Die angedachte Gegen- 
maßnahme sorgte vorab für so manchen 
internen Widerspruch von FPÖ-Parla- 
mentarierInnen. Doch FPÖ-Vizekanzler 
Heinz-Christian Strache hatte schon zu- 
vor seine Zustimmung gegeben. Die Plä- 
ne gegen vermeintliche Anonymität im 
Internet hatte die rechtskonservative 


Regierung aus ÖVP und FPÖ im Novem- 
ber 2018 vorgestellt. Erklärtes Ziel war 
es demnach, „den Umgang im Netz res- 
pektvoller” zu machen. Zuvor hatte ein 
Fall in dem Land für Aufsehen gesorgt, 
in dem es um obszöne Facebook-Nach- 
richten an die Grünen-Politikerin Sigi 
Maurer und deren Veröffentlichung so- 
wie die Benennung des Absenders durch 
die Betroffene ging. Die Hassposts wa- 
ren aber unter Klarnamen versendet 
worden. Es wäre, so Maurer, deshalb 
wichtiger, die Möglichkeiten zur Gegen- 
wehr zu erweitern (dazu s. u. S. 112 Ur- 
teil des OLG Wien). 

Der umstrittene Entwurf wurde sechs 
Wochen lang zur Begutachtung freige- 
geben. In dieser Zeit sind Stellungnah- 
men möglich. Anschließend werden 
mögliche Änderungen eingearbeitet, 
bevor der Nationalrat, in dem die Regie- 
rung die Mehrheit hat, über das Gesetz 
abstimmt. Schließlich entscheidet der 
Bundesrat über den Entwurf, was aber 
als Formsache gilt. 

Es ist zweifelhaft, dass das geplan- 
te Gesetz zu weniger Hetze führt. Eine 
ähnliche Initiative in Südkorea, die Nut- 
zenden Identifikationsnummern zuteil- 
te, senkte die Zahl der Verbalattacken 
nur vorübergehend. Dann änderten 
sich die Beschimpfungen: Sie wurden 
auf nicht justiziable Weise formuliert. 
Südkoreas oberstes Gericht hielt das 
Gesetz schließlich für als zu weitgehend 
und gleichzeitig für ineffizient und hob 
es auf (Das Gupta, Maßnahme gegen 
Hass-Kommentare Österreich bekommt 
„digitales Vermummungsverbot”, www. 
sueddeutsche.de 08.04.2019; Holland, 
Österreich: „Digitales Vermummungs- 
verbot” soll nun wohl kommen, www. 
heise.de, Kurzlink: https://heise. 
de/-4365622; Breithut, Nutzer von 
Plattformen wie Facebook sollen priva- 
te Adressen angeben, www.spiegel.de 
12.04.2019). 


Schweiz 


EU kritisiert Ausstattung 
beim Datenschutz 


Anlässlich der regelmäßigen Über- 
prüfung, inwieweit die Schweiz als 
Schengen-Mitglied die Schengen-Regeln 
einhält, stellte der EU-Ministerrat in ei- 


DANA ® Datenschutz Nachrichten 2/2019 


nem Bericht fest, dass beim Datenschutz 
Defizite bestehen: zu wenig Personal und 
zu wenig Kompetenzen. Der Bericht gibt 
Beat Rudin, Präsident der kantonalen 
Datenschützer, der schon lange für mehr 
Ressourcen kämpft, Aufwind: „Wir hof- 
fen, dass sich jetzt das Ganze beschleu- 
nigt, weil die EU festgestellthat, dass die 
Ausgestaltung der Datenschutzaufsicht 
nicht genügt.” Die kantonalen Daten- 
schutzstellen, die wie in gewissen klei- 
nen Kantonen nur aus einer 20%- oder 
30%-Stelle bestehen, müssten personell 
aufgerüstet werden; ansonsten hätten 
sie zu kurze Spieße im Kampf gegen Da- 
tenklau im Internet. Der EU-Ministerrat 
fordert die Schweiz zudem auf, die Be- 
fugnisse der Datenschützer zu erweitern. 
Heute können sie nur Empfehlungen ab- 
geben, neu sollten die kantonalen und 
der nationale Datenschützer aber auch 
verbindliche Verfügungen erlassen kön- 
nen. Dadurch bekämen sie deutlich mehr 
Macht, so Rudin. 

Für ihn ist klar, dass der EU-Bericht 
Folgen haben wird: „Wenn diese Schen- 
gen-Evaluation nicht erfüllt wird, dann 
riskiert die Schweiz die Aufhebung der 
Schengen-Assoziierung. Beispielswei- 
se unsere Polizei hätte überhaupt kei- 
ne Freude daran, wenn sie den Zugang 
zum Schengener Informationssystem 
nicht mehr hätten.” Mehr Mittel und 
mehr Macht seien nötig, damit die Da- 
tenschützer auch in Zukunft ihrer Auf- 
gabe nachkommen - nämlich die Daten 
der Bürger zu schützen. Der Eidgenös- 
sische Datenschutzbeauftragte Adrian 
Lobsiger schloss sich umgehend den 
Forderungen der kantonalen Daten- 
schützer an (von Matt, Datenschutz in 
der Schweiz - EU kritisiert die Schweiz 
- und die Datenschützer freut es, www. 
srf.ch 28.03.2019). 


Slowakei 


Multimillionär des Mordes 
und der Journalistenbe- 
spitzelung beschuldigt 


Der Geschäftsmann Marian Kocner 
ist der mutmaßliche Auftraggeber des 
Mordes an dem 27-jährigen Journalis- 
ten Jän Kuciak am 25.02.2018. Gegen 
Koöner wurde deshalb von der Staats- 
anwaltschaft Anfang 2019 Anklage er- 
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hoben. Ihm wird auch vorgeworfen, von 
Anfang 2017 bis Mai 2018 systematisch 
Journalisten ausgespäht zu haben, da- 
runter auch den ermordeten Kuciak. 
Mindestens sechs Leute spannte Koöner 
dafür ein, darunter einen Ex-Geheim- 
dienstagenten namens Peter Töth. Der 
hat laut dem Protokoll eines Polizeiver- 
hörs erklärt, er sei davon ausgegangen, 
Kocner brauche die Informationen für 
seine Facebook-Seite, auf der er regel- 
mäßig Schmähungen über Journalisten 
verbreitete, die kritisch über ihn be- 
richteten. 

Vier Monate, bevor er zusammen mit 
seiner Verlobten erschossen wurde, 
hatte Jän Kuciak Anzeige gegen Marian 
Kocner erstattet, weiler sich vonihm be- 
droht fühlte. Dieser hatte ihm gedroht: 
„Lch werde anfangen, Herr Kuciak, mich 
für Ihre Mutter zu interessieren, für 
Ihren Vater, für Ihre Geschwister, ich 
werde mich um sie alle kümmern, und 
ich werde alles veröffentlichen, was ich 
über Sie finde, Herr Kuciak.” Die Polizei 
wies den Reporter ab: Was er schildere, 
sei nicht einmal ein Bagatelldelikt. 

Gemäß einem Pressebericht prahlte 
Kocner drei Monate vor dem Mord an Ku- 
ciak in einer von Ermittlern abgefange- 
nen SMS, er habe bis dato 200.000 Euro 
für die Bespitzelung von Journalisten 
ausgegeben. Er wisse nun, wer mit wem 
Beischlaf pflege, „wer eine Schwuchtel 
ist, ein Säufer, ein Tyrann. Komplett mit 
Bildern und Videodokumentation.” Bei 
diesem so akribisch gepflegten Projekt 
kamen dem Multimillionär mutmaßlich 
seine Kontakte in die Sicherheitsbe- 
hörden zugute. Dem Bericht zufolge 
ermittelt die Polizei gegen einen frühe- 
ren Abteilungsleiter der Finanzpolizei, 
weil dieser an der Ausspähung von Jän 
Kuciak beteiligt gewesen sein soll. Der 
hat demnach ausgesagt, er habe den 
Auftrag dazu vom damaligen Polizei- 
präsidenten Tibo GaSpar erhalten, was 
dieser bestreitet, der aber zugleich wei- 
ter ins Zwielicht gerät: Unter Berufung 
auf übereinstimmende Informationen 
von Europol und anderen Behörden be- 
richtete der italienische Fernsehsender 
Rai Uno, GaSpar habe bereits 2013 da- 
von gewusst, dass ein italienischer Ge- 
schäftsmann namens Antonino Vadalä 
dabei war, im Osten der Slowakei eine 
Zelle der kalabrischen "Ndrangheta auf- 
zubauen. Kuciak hatte vor seinem Tod 


zu Vadala und dessen Beziehungen in 
höchste Regierungskreise recherchiert. 
Kurz nach Kuciaks Ermordung erklärte 
GaSpar, der slowakischen Polizei lägen 
keine Informationen über derartige 
“Ndrangeta-Umtriebe in ihrem Land 
vor - eine Aussage, die der Rai-Bericht 
widerlegt (Zick, Kuciak war nicht der 
einzige, SZ 26.04.2019, 7). 


USA 


Apps melden Facebook 
ungefragt sensitive 
Gesundheitsdaten 


In den USA berichteten Medien am 
22.02.2019, dass etliche Smartphone- 
Apps vor allem aus dem Gesundheits- 
bereich private Informationen der Be- 
nutzenden ohne deren Zustimmung zu 
Werbezwecken an Facebook senden. Der 
Gouverneur des US-Bundesstaats New 
York leitete hierzu umgehend eine Un- 
tersuchung ein. Ein erster App-Herstel- 
ler veröffentlichte darauf ein Update, in 
dem das kritisierte Vorgehen abgestellt 
sein soll. Derweil weist Facebook eine 
Mitschuld an den Vorgängen zurück. 

Als entsprechend programmierte 
Apps wurde u. a. die App Flo genannt, 
mit der Frauen ihre Menstruation und 
ihren Eisprungzyklus überwachen und 
Hilfe bei einem Schwangerschafts- 
wunsch erhalten können. Die App HR 
Monitor zur Messung der Herzfrequenz 
soll diese ebenso an Facebook gemeldet 
haben wie die Immobilien-App Realtor 
die Besichtigung einer Immobilie, an 
deren Kauf die BenutzerIn interessiert 
ist. Zu weiteren übermittelten persön- 
lichen Daten gehören Blutdruck und 
Gewicht der Benutzenden oder die Nut- 
zung einer Meditations-App. Die App- 
Entwickler nutzten dabei Software von 
Facebook, mit der über ein „Custom 
Event” genanntes Feature ein Ereignis 
in der App das Übertragen entsprechen- 
der Daten an den Social-Media-Konzern 
auslöst, zusammen mit einer eindeuti- 
gen Werbe-ID, die sich dem Report zu- 
folge mit einem Gerät oder einem Profil 
verknüpfen lässt. 

Die Daten wurden offenbar ohne Wis- 
sen und Zustimmung der Benutzenden 
zum Zweck der Werbung an Facebook 
übertragen - und zwar nicht nur bei 
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Benutzenden mit Facebook-Konto, 
sondern auch, wenn diese sich in der 
jeweiligen App nicht bei Facebook an- 
gemeldet hatten. Übermittelt wurden 
selbst Daten, wenn die Benutzenden 
gar kein Konto bei Facebook besitzen. 
Eine Möglichkeit, die Datenweitergabe 
in den Apps zu unterbinden, soll nicht 
bestanden haben. Der Test umfasste 
ungefähr 70 mehr oder weniger populä- 
re Apps in Apples App Store, von denen 
11 entsprechende Daten übermittelten. 
Android-Versionen existieren von meh- 
reren Apps, die aber nicht getestet wor- 
den sind. 

Der Gouverneur des US-Bundesstaats 
New York Andrew Cuomo nannte die 
Datenübertragung an Facebook einen 
„ungeheuerlichen Missbrauch der Pri- 
vatsphäre” und beauftragte zwei ihm 
unterstellte Behörden mit einer Unter- 
suchung der Vorgänge. Außerdem rief 
Cuomo die zuständigen Regulierungs- 
behörden des Bundes auf, ebenfalls 
tätig zu werden. Facebook erklärte, es 
wolle die New Yorker Behörden bei der 
Aufklärung unterstützen. Das Social- 
Media-Unternehmen verwies darauf, 
dass die Entwickler der Apps die Einwil- 
ligung der Benutzer für eine Datenüber- 
mittlung einholen müssten, und dass 
Facebook den Entwicklern untersage, 
sensible persönliche Daten (etwa aus 
dem Gesundheitsbereich) zu übermit- 
teln. Das Unternehmen bemühe sich, 
Daten zu finden und zu löschen, die es 
nicht hätte erhalten dürfen. Cuomo hat- 
te zuvor Ende Januar 2019 gemeinsam 
mit der Generalstaatsanwältin Letitia 
James gegen Apple wegen eines schwer- 
wiegenden Datenschutz-Bugs in der 
Gruppenchat-Funktion von FaceTime 
Ermittlungen eingeleitet. 

Der Entwickler der Menstruations-App 
Flo, Flo Health, äußerte sich zu der An- 
gelegenheit. Die Datenübertragung soll 
in einer aktualisierten Version der App 
- für i0S und Android - abgestellt wer- 
den. Damit habe man jegliche Daten- 
übertragung an andere Unternehmen 
abgestellt, so der Entwickler. Die Firma 
wolle sich zudem einer Datenschutzprü- 
fung unterziehen. Das unkontrollierte 
Datensammeln war zuvor insbesondere 
bei Android-Apps mehrfach ans Licht 
gekommen, so etwa das Erfassen von 
Standortdaten trotz des Widerspruchs 
der Benutzenden, das Vorhandensein 
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von Tracker-Skripten zum Erheben von 
Nutzungsdaten oder das tausendfache 
Umgehen der Werbe-ID (Wittenhorst, 
Apps liefern Facebook vertrauliche Da- 
ten - Untersuchung angekündigt, www. 
heise.de 24.02.2019; Kurzlink: https:// 
heise.de/-4316943). 


USA 


Family Tree unterstützt 
freiwillig FBI 


Eines der größten Unternehmen für 
private DNA-Tests, Family Tree DNA, 
hat zugegeben, dem FBI freiwillig die 
Nutzung der eigenen DNA-Datenbank 
zu gestatten. Das US-amerikanische 
Unternehmen wolle damit beim Auf- 
klären von Kriminalfällen helfen. Das 
FBI könne nicht frei in der Datenbank 
von Family Tree DNA suchen. Die Firma 
nehme seit Herbst 2018 DNA-Proben auf 
Basis einzelner Fälle entgegen und glei- 
che diese - ohne Kenntnis ihrer Kunden 
- mit der Datenbank ab. Einen Vertrag 
mit dem FBl über diese Zusammenarbeit 
gebe es nicht, doch hat das Unterneh- 
men im Dezember 2018 seine Geschäfts- 
bedingungen entsprechend angepasst. 

Eine Sprecherin des Unternehmens 
teilte mit, dass dieses dem FBI bis Janu- 
ar 2019 in weniger als 10 Fällen gehol- 
fen habe. Beim Abgleich mit der Daten- 
bank könnten direkte Treffer oder auch 
Verwandtschaftsbeziehungen zur vor- 
liegenden DNA-Probe ermittelt werden. 
Durch die Zusammenarbeit hat das FBI 
indirekt Zugriff auf mehr als eine Milli- 
on DNA-Profile von Privatpersonen, die 
ihre genetischen Informationen dem 
Unternehmen anvertraut haben. Fami- 
ly Tree DNA nimmt bereits vorhandene 
Gen-Informationen entgegen und ver- 
kauft auch Sets, mit denen KundInnen 
eine Genprobe nehmen und zur Analyse 
zurücksenden können. 

Das Unternehmen rechtfertigte die 
Zusammenarbeit mit dem FBI damit, 
dass man mit der eigenen Plattform hel- 
fen könne, Kriminalfälle schneller als je 
zuvor zu lösen. Außerdem könnten Kun- 
dInnen per Opt-out dem Auffinden ihrer 
Gendaten widersprechen. Ein nicht mehr 
auffindbarer Eintrag würde jedoch dem 
ursprünglichen Zweck der Datenbank 
widersprechen, darüber etwa Verwandt- 


schaftsbeziehungen aufzuklären. Family 
Tree DNA sieht auch nicht seine Privat- 
sphäre-Bestimmungen verletzt. Die Zu- 
sammenarbeit mit dem FBlseiin etwa so, 
als würde die Behörde ein Nutzerkonto 
bei der Firma anlegen und mit einem ei- 
genen DNA-Profil nach Treffern suchen. 
Im Jahr 2017 war der Mutterkonzern von 
Family Tree DNA per Gerichtsbeschluss 
verpflichtet worden, Informationen zu 
dem als „Golden State Killer“ bekannt 
gewordenen Kriminalfall herauszuge- 
ben (Wittenhorst, DNA-Analysefirma ge- 
stattet FBI Nutzung des Datenbestands, 
www.heise.de 02.02.2019, Kurzlink: 
https://heise.de/-4296628; vgl. DANA 
2/2018, 116£.). 


USA 


23andMe informiert 
ungefragt über genetisches 
Typ-2-Diabetes-Risiko 


23andMe, ein Unternehmen aus dem 
Silicon Valley, das DNA-Tests direkt an 
VerbraucherInnen vermarktet, wirbt 
mit dem Motto „Jeder hat ein Recht 
auf seine genetischen Informationen.” 
Es hat eine Krankheitsvorhersage auf 
den Markt herausgebracht, bei der aus 
einer DNA-Analyse das genetische Ri- 
siko beauskunftet wird, dass eine Per- 
son Typ-2-Diabetes bekommen wird. 
Im März 2019 sollen mehrere Millionen 
KundInnen diese Information durch das 
Unternehmen erhalten haben. Die Ana- 
lyse basiert auf einem polygenetischen 
Risikowert, bei dem DNA-Informationen 
im gesamten Genom berücksichtigt wer- 
den. Im Fall des neuen Diabetes-Tests 
werden laut 23andMe Informationen 
von 1.244 unterschiedlichen Stellen im 
Genom eines Menschen untersucht, wo- 
bei jede davon einen kleinen Anteil an 
der Gesamt-Risikobewertung habe. 

Ungefähr 80% der KundInnen würden 
so erfahren, dass ihre persönliche DNA 
ein durchschnittliches Risiko für sie be- 
deutet, bei 20% bestünde eine erhöhte 
Diabetes-Wahrscheinlichkeit. Nur die 
Personen in der Gruppe mit höherem 
Risiko erhalten das genauere Berech- 
nungsergebnis (zum Beispiel eine Wahr- 
scheinlichkeit von 3 zu 5 über das ge- 
samte Leben gesehen). Diese Berichtsart 
stieß auf starke Kritik. Polygenetische 
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Bewertungen seien zwar viel verspre- 
chend, aber nicht sehr exakt, sie bräch- 
ten zudem keine belegten Vorteile für 
die Gesundheit, so Peter Kraft, ein Epi- 
demiologe an der School of Public Health 
der Harvard University: „Ich halte das für 
ein riesiges Experiment. Es wird für Milli- 
onen Menschen angeboten, aber es gibt 
noch viel, was wir nicht wissen.” 

Anfang März 2019 stellte 23andMe 
Medien einen exemplarischen Bericht 
zur Verfügung, für einen imaginären 
Kunden lateinamerikanischer Herkunft 
namens Jamie. Demnach besteht für 
Jamie eine sehr hohe Wahrscheinlich- 
keit, im Lauf seines Lebens Diabetes 
zu bekommen. Anschließend wird ihm 
empfohlen, für 19,99 Dollar im Monat 
eine Coaching-App namens Lark aus- 
zuprobieren, die von einem Partner von 
23andMe angeboten wird. Grundlage für 
die Risiko-Berichte seien neue wissen- 
schaftliche Erkenntnisse. Mit DNA von 
genügend Menschen ist es inzwischen 
möglich, statistische Modelle zu ent- 
werfen, die anhand der DNA von ein- 
zelnen Personen Voraussagen für deren 
wahrscheinliche Merkmale erlauben. 
Möglich ist das außer für Diabetes zum 
Beispiel für Brustkrebs, eine besonders 
geringe Körpergröße oder einen über- 
durchschnittlichen Intelligenzquotien- 
ten (IQ). Im Jahr 2018 wurden mindes- 
tens 216 wissenschaftliche Aufsätze zu 
solchen polygenetischen Risikowerten 
veröffentlicht. Das Konzept schaffte es 
auf die Liste der 10 bahnbrechenden 
Technologien 2018. 

Für seine Diabetes-Prognosen hat 
23andMe nach eigenen Angaben seine 
enorme Sammlung an DNA-Daten ge- 
nutzt und mehr als 70.000 KundInnen 
analysiert, dieangaben, unter Typ-2-Di- 
abetes zu leiden; hinzu kamen mehrere 
Millionen, bei denen das nicht der Fall 
war. Für das Unternehmen ist das Poten- 
zial dieser Scoring-Technologie erheb- 
lich. In einem Förderantrag bezeichnet 
es „hochgradig skalierbare und genaue 
Einschätzungen von Krankheitsrisi- 
ken“ als die „nächste Phase“ seiner For- 
schungsarbeit. Ob Risiko-Berichte auch 
für andere Krankheiten geplant sind, 
wollte 23andMe nicht sagen. 

Im Jahr 2013 zwang die US-Regierung 
das Unternehmen, eine lange Liste von 
Gesundheitstests zurückzuziehen, weil 
deren Genauigkeit nicht hinreichend 
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belegt wurde und weil sie Menschen 
dazu bringen könnten, unnötige medi- 
zinische Maßnahmen zu ergreifen. Vie- 
le der Tests wie der auf Typ-2-Diabetes 
basieren auf polygenetischen Indikato- 
ren. Seitdem die Forschung Fortschritte 
gemacht hat, ist die Regulierung in den 
USA lockerer geworden. Laut 23andMe 
gibt es fürden neuen Diabetes-Tests kei- 
nerlei requlatorische Vorgaben. Denn er 
fällt unter eine Ausnahmeregelung für 
Tests mit geringem Risiko und Telefon- 
Apps, die nur Empfehlungen zu „allge- 
meiner Wellness“ bieten, keine echte 
medizinische Beratung oder Diagnosen. 

Dazu kritisch Cecile Jansen, eine Epi- 
demiologin an der Emory University: 
„Dass sie diesen Weg gehen würden, war 
absolut abzusehen. Esist zwar noch viel 
zu früh, diese Art von Informationen 
zu verbreiten, aber 23andMe findet, 
dass das keine Rolle spielt, solange man 
ehrlich auf die Schwächen hinweist.” 
Besonders lückenhaft sind die geneti- 
schen Prognosen für Afroamerikaner, da 
das Modellvon 23andMe weitgehend auf 
DNAvon weißen Menschen europäischer 
Abstammung basiert, die den Großteil 
seiner Datenbank ausmachen. Die Fol- 
ge davon ist, dass die Voraussagen für 
andere Bevölkerungsgruppen weniger 
Aussagekraft haben (Regalado, DNA- 
Test auf Typ-2-Diabetes, www.heise. 
de 18.03.2019). 


USA/China 


Keine DNA-Analysetechnik 
mehr für Ethno-Unterdrük- 
kung in Xinjiang 


Das US-Technologieunternehmen 
Thermo Fisher mit Sitz in Massachu- 
setts stellt die Lieferung von Geräten 
an die chinesische Regional-Regierung 
von Xingjang ein, mit denen eine DNA- 
Datenbank der Minderheit der Uiguren 
erstellt wird. Das Sammeln, Archivie- 
ren und Auswerten von DNA ist Teil ei- 
nes umfassenden Überwachungs- und 
Kontrollprogramms der chinesischen 
Regierung in der Region Xinjiang, die 
mehrheitlich von moslemischen Uigu- 
ren bewohnt wird. Dabei wurde Technik 
von Thermo Fisher eingesetzt. 

Chinesische Stellen beteiligen sich an 
weltweiten Projekten zur DNA-Analyse. 


Thermo Fisher war nach eigenem Be- 
kunden zunächst nicht bewusst, in wel- 
cher Weise die gelieferte Technik zum 
Einsatz kommt und bat deshalb offiziel- 
le US-Stellen, das Unternehmen bei der 
Recherche über den Technikeinsatzes in 
China zu unterstützen. Mark Munster- 
hjelm, Professor an der University von 
Windsor/Ontario, untersuchte den Ein- 
satz der Technik in Xinjiang und meinte, 
dass die weltweit stattfindenden Koope- 
rationen „diese Form der genetischen 
Überwachung legitimiert”. Die Regie- 
rung von Xinjiang bestritt hingegen, 
dass DNA-Proben als Teil eines Gesund- 
heitsprogramms gesammelt würden. Die 
Analysetechnik sei von den Behörden 
für „interne Zwecke” beschafft worden. 

Die genetische Kooperation zwischen 
den USA und China basierte ursprüng- 
lich auf wissenschaftlichem Interesse. 
2010 besuchte Kenneth Kidd, ein an- 
gesehener Yale-Professor, das Land und 
entwickelte in den folgenden Jahren 
eine Forschungszusammenarbeit, in 
deren Verlauf auch Chinesen in seinen 
US-Laboren tätig waren. 2013 und 2017 
veröffentlichten chinesische offizielle 
Forschende Patente zur Feststellung 
der ethnischen Herkunft, wobei als 
Referenzgruppen Uiguren und Inder 
dienten. Es zeigte sich, dass die Re- 
ferenzdaten aus dem 1000-Genomes- 
Project stammten, an dem Kidd betei- 
ligt war. Die chinesischen Forschenden 
steuerten ihrerseits für internationale 
Forschung Datensätze von 2.143 Uigu- 
ıInnen bei. Der 77-jährige Kidd erklär- 
te, „nicht besonders glücklich” zu sein, 
dass seine Daten in einer Weise genutzt 
worden sind, die nicht den Betroffenen 
diene. Er könne die Chinesen hiervon 
aber nicht abhalten. Er sei sich über 
diese Verwendung auch nicht bewusst 
gewesen: „Ich ging davon aus, dass die 
Proben auf Grundlage einer informier- 
ten Einwilligung beschafft wurden. Erst 
vor kurzem habe ich davon erfahren, 
dass die Behandlung von Uiguren be- 
denklich ist.” Ein weiterer US-Wissen- 
schaftler, der mit China kooperierte, war 
Bruce Budowle, Professor der University 
ofNorth Texas. Kidd und Budowle waren 
Gastredner einer 2015 in Xi’an/China 
durchgeführten Konferenz über Gen- 
technik, die u. a. von Thermo Fisher or- 
ganisiert worden war. Das Unternehmen 
verkauft Laborinstrumente für Gentests 
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bis hin zu Sequenzier- und DNA-Daten- 
abgleichs-Geräten. 

Der chinesische Markt für Gensequen- 
zierung und ähnliche Technik für das 
Jahr 2017 wird auf 1 Mrd. US-Dollar ge- 
schätzt und soll sich in fünf Jahren ver- 
doppelt haben. Thermo Fisher beschäf- 
tigt in China 5.000 Mitarbeitende und 
machte 2017 gemäß dem eigenen Ge- 
schäftsbericht 10% seiner Einnahmen in 
Höhe von insgesamt 20,9 Mrd. US-Dollar 
in diesem Land: „Unsere größte Erfolgs- 
geschichte in Neumärkten dauert in 
China an“. Aus fünf Patentunterlagen 
des chinesischen Sicherheitsministeri- 
ums geht hervor, dass Ausrüstung von 
Thermo Fisher verwendet wurde, um die 
genetische Kartierung der Bevölkerung 
voranzubringen. Sicherheitsbehörden 
in Xinjiang bezogen Geräte von Thermo 
Fisher für „strafrechtliche Ermittlun- 
gen”, wofür esin China noch keine tech- 
nischen Alternativen gäbe. Gemäß den 
Patentunterlagen wurden ethnische 
Untersuchungen zu Uiguren, Tibetern 
und Han-Chinesen durchgeführt. Diese 
Differenzierungen seien für die Terror- 
bekämpfung nötig, „da entsprechende 
Fälle sonst schwerer zu knacken” seien. 

Die Kooperation von Thermo Fisher 
wurde von dem republikanischen US- 
Senator Marco Rudio aus Florida und 
anderen kritisiert. Rubio forderte das 
US-Handelsministerium auf, Unterneh- 
men den Verkauf von Technologie an 
China zu untersagen, die für Überwa- 
chungs- und Kontrollzwecke genutzt 
werden könne. Thermo Fisher kündigte 
daraufhin am 20.02.2019 an, „gemäß 
den Werten und den Ethik-Grundsätzen 
von Thermo Fisher“ den Verkauf nach 
Xingjiang zu stoppen. Ein Firmenspre- 
cher sagte, als „weltweit führender Part- 
ner der Wissenschaft” müsse sich das 
Unternehmen damit befassen, „wie un- 
sere Produkte und Dienstleistungen von 
unseren Kunden genutzt werden oder 
genutzt werden könnten”. 

Sophie Richardson, zuständig für Chi- 
na bei Human Rights Watch, begrüßte 
den Schritt von Thermo Fisher und er- 
klärte, es müsse besser überprüft und 
überwacht werden, ob und wie nach 
China fließendes Know-how nach Xin- 
jiang weitergegeben wird. Tahir Hamut, 
ein in Virginia lebender Filmmacher und 
Uigure, erklärte, es sei unvorstellbar, 
dass die Menschen angesichts der gegen 
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sein Volk praktizierten Sanktionen ihr 
Blut freiwillig zu Verfügung stellten. Er 
selbst war im Mai 2017 von der Polizei 
in Xinjiang verhaftet worden; es wur- 
den zwangsweise Blutproben, Finger- 
abdrücke, ein Gesichts- und Stimmscan 
erhoben. Einen Monat später sei er in 
einer örtlichen Klinik zur Durchführung 
eines freiwilligen Gesundheitschecks 
gewesen. Er habe 20 bis 40 verängstigte 
UigurInnen in einem Spalier stehen se- 
hen: „Ohne eine solche Unterdrückung 
und ohne eine entsprechende persönli- 
che Gefahr würde keiner seine Blutpro- 
be für Forschungszwecke bereitstellen” 
(US-Firma verkauft keine Geräte mehr 
an China für DNA-Datenbank der Uigu- 
ren, www.zeit.de 22.02.2019; Sui-Lee, 
China Uses DNA to Track Its People, With 
the Help of American Expertise, www. 
nytimes.com 21.02.2019; vgl. DANA 
2018, 53). 


Brasilien 


Gesichtserkennung im 
Karneval 


In den Straßen von Rio de Janeiro 
feiern Hunderttausende Menschen Kar- 
neval, z. B. bei den großen Paraden im 
„sambodrom“ oder bei den Hunderten 
Straßenpartys und Umzügen, die in der 
ganzen Stadt stattfinden. Zum ersten 
Mal wurden im Jahr 2019 Kameras mit 
Gesichtserkennung eingesetzt, um die 
Menschenmassen zu kontrollieren. In 
Rios Stadtteil Copacabana werden die 
Aufnahmen der vorhandenen Verkehrs- 
kameras verwendet. In Salvador da Ba- 
hia, im Nordosten des Landes, wurden 
Kameras aufgebaut, die schon mit der 
Software zur Gesichtserkennung aus- 
gerüstet sind. Oberst Anselm Brandao, 
der Polizeichef des Bundesstaats Ba- 
hia, begründete dies wie folgt: „Sicher- 
heit geht vor. Das Besondere an diesem 
Karneval sind die neuen Technologien. 
Wir haben Kameras mit Gesichtserken- 
nung. Aber auch Drohnen kommen zum 
Einsatz. Und an allen Zugängen stehen 
Spürhunde bereit.” 

Das neue System blieb bis Aschermitt- 
woch in Betrieb. Die Gesichtserkennung 
soll, so die offizielle Begründung, dazu 
dienen, Straftäter, nach denen gefahn- 
det wird, zu identifizieren. In Rio wird 


dazu das Facewatch-System verwendet, 
das auch in Großbritannien schon im Ein- 
satz ist. Im System wurden die Gesichter 
von 1.100 gesuchten Straftätern hinter- 
legt. Der Computer soll Alarm schlagen, 
wenn sich einer von ihnen in Copacabana 
unter die Feiernden mischt. In Salvador 
da Bahia wird eine Software eingesetzt, 
die auch Behörden in China nutzen. Dort 
werden bekanntlich auch kleinere Verge- 
hen wie Müll-Wegwerfen oder die Miss- 
achtung roter Ampeln verfolgt. 

Die Behörden hoffen, dass die Soft- 
ware sogar noch hinter die Masken 
schauen kann und sich von Verkleidung 
nicht täuschen lässt. Matteus Torres, 
Techniker im Polizei-Einsatzzentrum 
von Rio, erläuterte: „Selbst, wenn die 
Person sich sehr verändert, zum Beispiel 
an Gewicht zunimmt oder abnimmt, 
bleibt die Position der Augen die glei- 
che. Und der wichtigste Faktor für eine 
hochwertige Gesichtserkennung istnun 
einmal der Abstand zwischen den Au- 
gen.” Datenschutz-Bedenken gibt es in 
Südamerika generell wenig. Kamera- 
überwachung ist weit verbreitet, z. B. 
in brasilianischen Einkaufszentren oder 
Flughäfen. Neu ist, dass sie umfassend 
im Freien und im Karneval verwendet 
werden (Marusczyk, Karneval in Brasi- 
lien, Die Gesichtserkennung feiert mit, 
www.tagesschau.de 01.03.2019). 


Südkorea 


Minikameras in Hotel- 
Föhns 


Die Polizei hat zwei Männer verhaf- 
tet, die heimlich 1.600 Hotelgäste ge- 
filmt und die Aufnahmen live online 
gestreamt haben sollen. Diese und zwei 
weitere Verdächtige sollen zwischen 
November 2018 und März 2019 in insge- 
samt 42 Zimmern in 30 Hotels Kameras 
installiert haben. Betroffen waren Ho- 
tels in zehn Provinzstädten des Landes. 
Die beiden Komplizen blieben auf freiem 
Fuß. Sie sollen den Tätern geholfen ha- 
ben, die winzigen Kameras in der Halte- 
rung z. B. von Haarföhnen und Fernse- 
hern zu integrieren. Die Polizei hat of- 
fenbar keine Hinweise darauf, dass die 
Hotels wussten, dass ihre Gäste ohne 
ihr Wissen gefilmt wurden. Die Kameras 
waren gemäß Presseberichten mit nur 
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etwa einen Millimeter großen Linsen im 
Badezimmer-Föhn oder einer Steckdo- 
senabdeckung versteckt. Die Aufnah- 
men wurden demnach live an zahlende 
Kunden ins Internet gestreamt. Die 
Seite habe 4.099 Nutzende gehabt. 97 
von ihnen hätten zudem etwa 45 Dollar 
für Extras wie Wiederholungen bezahlt. 
Insgesamt sollen die Täter mit den Auf- 
nahmen mehr als 6.000 Dollar einge- 
nommen haben. 

Der Skandal um die heimlichen Vi- 
deos erschüttert Südkorea nur Tage, 
nachdem der K-Pop Sänger Seungri 
nach Zuhälter-Vorwürfen seine Karriere 
vorläufig beendet hatte. Der 28-jährige 
soll auch Teil eines Chats gewesen sein, 
in dem heimlich gefilmte Sexvideos ge- 
teilt wurden. Verhaftet wurde außerdem 
der 30-jährige Sänger und Filmschau- 
spieler Jung Joon-young. Auch dieser 
hatte sich beim Sex mit zehn verschie- 


denen Frauen heimlich gefilmt und 
diese Videos dann in einem Chat-Room 
mit Freunden geteilt. Die illegale Ver- 
breitung von mit versteckten Kameras 
aufgenommenen Videos - Molka - istin 
Südkorea ein ernst zu nehmendes sozi- 
ales Problem. Weit verbreitet ist die In- 
stallation von Minikameras mit Sendern 
in öffentlichen Toiletten. Im Sommer 
2018 erwischte die Polizei einen 13-Jäh- 
rigen. Tausende Frauen hatten sich im 
vergangenen Jahr mehrmals zu Kund- 
gebungen getroffen - und forderten 
stärkere staatliche Maßnahmen gegen 
die Verbreitung solcher Videos. Illegales 
Verbreiten von Videos wird in Südkorea 
mit bis zu fünf Jahren Gefängnis und bis 
zu 30 Mio. Won (ca. 23.000 €) Bußgeld 
geahndet. Dazu könnte eine Strafe we- 
gen Verbreitung von Pornografie kom- 
men. Seit 2013 sind mehr als 30.000 
Fälle angezeigt worden. Zur Bestrafung 


Technik-Nachrichten 


kam es bisher selten. Die Polizei hat ei- 
gens eine Molka-Einheit geschaffen, die 
solche Kameras mit Funk- und Infrarot- 
Detektoren aufspüren kann. 

Südkorea ist das am besten vernetz- 
te Land der Welt mit dem schnellsten 
Internet, 94% der Bevölkerung haben 
ein Smartphone. KritikerInnen werfen 
der Industrie und der Regierung vor, sie 
würden die SüdkoreanerInnen als Ver- 
suchskaninchen benutzen. Sie lieferten 
ihnen ständig billige neue Technolo- 
gien, auf welche die Gesellschaft nicht 
vorbereitet sei. Die Zahl junger Leute, 
die Games- oder Smartphone-süchtig 
sind, ist hier besonders groß. In den 
Schulen kommt es oft zu Belästigungen 
über die sozialen Medien (1600 Hotel- 
gäste in Südkorea heimlich gefilmt, 
www.spiegel.de 21.03.2019; Neidhardt, 
Mini-Kameras im Föhn versteckt, SZ 
22.03.2019, 10). 


Premium-Staubsauger 
vermessen die Wohnung 


Das AV-Test-Institut hat vier Premi- 
um-Modelle von Staubsauger-Robotern 
untersucht und rät InteressentInnen 
vor einem Kauf die Datenschutzerklä- 
rungen zu den Produkten samt Steue- 
rungs-App genau zu studieren. Ober- 
klasse-Saugroboter sind zur Kommuni- 
kation mit den Hersteller-Servern und 
anderen Diensten ständig online und 
damit ein potenzielles Risiko für Da- 
tenschutz und Privatsphäre. Anders als 
günstigere Modelle, die nur mit Berüh- 
rungssensoren ausgestattet sind und 
einfach bei Kollisionen ihre Fahrtrich- 
tung ändern, erstellen Saugroboter aus 
dem Premium-Segment zur Navigation 
Karten der Wohnräume samt Hindernis- 
sen, teils sogar mit Fenstern und Türen. 
Die Lagedaten stammen von den Ultra- 
schall-, Infrarot- und Lasersensoren so- 
wie Kameras in den Robotern. 

Die Daten und Karten kann die Robo- 
BesitzerIn in der Einrichtungs- und 
Steuerungs-App einsehen. Sie wandern 
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vom Smartphone übers Internet aber 
auch auf die Server der Hersteller oder 
an eventuell verbundene Dienste. Da es 
sich dabei um schutzwürdige Informati- 
onen handelt, die durch Aktivität oder 
Inaktivität des Gerätes zudem verraten, 
ob jemand gerade daheim ist oder nicht, 
lässt sich den TesterInnen zufolge dar- 
aus zumindest eine grundsätzliche 
Missbrauchsgefahr ableiten (Wenn der 
Saugroboter zum putzenden Spion wird, 
rp-online.de 31.01.2019). 


Stiftung Warentest warnt 
vor Ausforschung durch 
Sprachassistenten 


Wer Sprachassistenten nutzt, gibt 
gemäß einer Untersuchung der Stif- 
tung Warentest eine Menge von sich 
preis ohne überprüfen zu können, was 
mit den Daten passiert. Vernetzte Laut- 
sprecher sollen mit ihren Sprachassis- 
tenten den Alltag erleichtern, doch sei 
dies mit erheblichen Datenschutzmän- 
geln verbunden: In dem Vergleich der 


Stiftung Warentest kam keines der 18 
untersuchten Geräte über die Note „be- 
friedigend” hinaus. 

Auf den Lautsprechern laufen Ama- 
zons Sprach-Software Alexa, Google As- 
sistent oder Siri von Apple. Wer einen sol- 
chen Dienst intensiv nutze, gebe „einen 
gehörigen Teil seiner Privatsphäre auf“. 
Die Nutzenden könnten aus den Daten- 
schutzerklärungen nicht schlau werden. 
Dort sei nicht zu erkennen, was mit den 
persönlichen Informationen geschieht. 
Die Erklärungen seien viel zu lang, oft 
unklar formuliert und verschwiegen re- 
levante Rechte der Nutzenden. Grundle- 
gende Prinzipien des europäischen Da- 
tenschutzrechts würden nicht angemes- 
sen umgesetzt. Das sorgt für reihenweise 
Abwertungen in den Noten. Wem Privat- 
sphäre und Datenschutz wichtig sei, der 
solle lieber die Finger von den digitalen 
Helfern lassen. Wer diese Kriterien für 
weniger wichtig erachte, erhalte einige 
Geräte mit quter Sprachbedienung und 
ordentlichem Klang. 

Bei den Lautsprechern mit Alexa 
schnitten die beiden von Amazon selbst 
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produzierten Boxen Echo Plus (Note 3,1; 
rund 150 Euro) und Echo (3,2; 100 Euro) 
am besten ab. An dritter Stelle landete 
das Modell One von Sonos (3,3; 205 
Euro). Unter den Boxen, die mit Google 
Assistent laufen, haben der JBL Link 20 
(172 Euro) und der Onkyo Smart Spea- 


ker G3 VC-GX30 (86 Euro) mit der Note 
3,4 das beste Ergebnis erzielt. Apples 
Homepod mit Siri (330 Euro) wurde mit 
3,7 benotet (Stiftung Warentest kriti- 
siert Vernetzte Lautsprecher gefährden 
die Privatsphäre, www.saarbruecker- 
zeitung.de 01.04.2019. 


Rechtsprechung 


EuGH 


Deutsche Steuer-ID- 
Regelungen sind 
EU-rechtskonform 


Gemäß einem Urteil des Europäischen 
Gerichtshofs (EuGH) vom 16.01.2019 
verstößt die Abfrage der persönlichen 
Steuer-ID im Rahmen der Neubewer- 
tung zollrechtlicher Bewilligungen 
grundsätzlich nicht gegen EU-Recht 
(C-496/17). Allerdings beschränkt der 
EuGH den abgefragten Personenkreis 
auf Unternehmensverantwortliche und 
Personen, die für Zollangelegenheiten 
zuständig sind. 

Das Finanzgericht Düsseldorf (FG) 
hatte den EuGH in einem Vorabentschei- 
dungsverfahren nach der Zulässigkeit 
der Abfrage der Steuer-ID im Rahmen 
der Neubewertung zollrechtlicher Be- 
willigungen gefragt (4 K 1404/17). Das 
FG wollte wissen, ob die private Steuer- 
ID betroffener natürlicher Personen für 
die Entscheidung über die unterneh- 
mensbezogene Bewilligung abgefragt 
werden darf. Zum anderen bezweifelt es 
die Erforderlichkeit des weit gefassten 
Personenkreises, dessen Daten abge- 
fragt werden sollen. 

Der EuGH urteilte, dass die Abfrage 
der Steuer-ID im Rahmen der Neube- 
wertung zollrechtlicher Bewilligungen 
mit dem EU-Recht vereinbar ist. Es 
hält die Abfrage der privaten Steuer-ID 
betroffener natürlicher Personen für 
rechtens, da die Daten für eindeutige 
Zwecke erhoben und verarbeitet wer- 
den. Die Maßnahme sei angemessen 
und erheblich, um den Zollbehörden 
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die Prüfung zu ermöglichen, ob von der 
betroffenen Person ein wesentlicher 
steuer- oder zollrechtlicher Verstoß be- 
gangen wurde. Die Abfrage sei auf das 
notwendige Maß beschränkt, da Infor- 
mationen über die weitere persönliche 
Situation -z.B. den Familienstand, die 
Religionszugehörigkeit oder die Ein- 
künfte - gerade nicht Teil der Abfrage 
sind. 

Der EuGH sieht auch keinen Verstoß 
in der Tatsache, dass private Daten für 
die Bewertung unternehmensbezoge- 
ner Zwecke erhoben werden. Es sei ge- 
rechtfertigt, dass die Zollbehörden die 
Möglichkeit erhalten zu prüfen, ob die 
natürlichen Personen ihrerseits schwer- 
wiegende Verstöße gegen steuer- oder 
zollrechtliche Vorschriften begangen 
haben. Dies gelte unabhängig davon, 
ob diese Verstöße im Rahmen der Wirt- 
schaftstätigkeit des Unternehmens be- 
gangen wurden oder nicht. 

Art. 24 Abs. 1 Unterabs. 2 des Im- 
plementierenden Rechtsakts zum UZK 
(UZK-IA) erfasst jedoch nicht weitere 
Personen als die, die für das Unterneh- 
men verantwortlich sind, die Kontrolle 
über seine Leitung ausüben oder für sei- 
ne Zollangelegenheiten zuständig sind. 
Nicht betroffen sind also die Mitglieder 
von Beiräten und des Aufsichtsrates, 
sowie Abteilungsleiter (sofern nicht mit 
Zollangelegenheiten befasst), die Leiter 
der Buchhaltung und die Zollsachbear- 
beiter. Geschäftsführende Direktoren 
werden erfasst, wenn sie für das Unter- 
nehmen verantwortlich sind oder die 
Kontrolle über seine Leitung ausüben. 
Der EuGH folgte weitestgehend der Linie 
des Generalanwaltes. 

Das FG Düsseldorf wird bei der Fort- 


setzung des Verfahrens die Vereinbar- 
keit der Abfrage der Steuer-ID mit deut- 
schem Recht zu prüfen haben. Nach der 
Rechtsprechung des Bundesfinanzhofs 
entspringt die Steuer-ID dem persönli- 
chen Steuerverhältnis zwischen Bürger 
und Staat. Nicht eindeutig ist, ob das 
nationale Steuerrecht die Verwertung 
der Steuer-ID für unternehmensbezoge- 
ne, zollrechtliche Zwecke erlaubt (Steu- 
er-ID: EuGH billigt die Abfrage der Steu- 
er-ID im Rahmen der Neubewertung von 


Bewilligungen, www.hza-seminare.de 
18.01.2019). 

BVerfG 

Kfz-Kennzeichen- 


Scanning-Regelungen in 
Bayern, BaWü und Hessen 
verfassungswidrig 


Gemäß zwei Beschlüssen des Bundes- 
verfassungsgerichts vom 18.12.2018 
sind die polizeirechtlichen Regelun- 
gen zum automatischen Scannen von 
Kfz-Kennzeichen in Bayern, Baden- 
Württemberg (BaWü) und Hessen wegen 
Verstoß gegen das Recht auf informa- 
tionelle Selbstbestimmung teilweise 
verfassungswidrig (1 BvR 142/15 so- 
wie 1 BvR 2795/09, 1 BvR 3187/10). 
Kennzeichenabgleiche sind danach zur 
Gefahrenabwehr und auch für die soge- 
nannte Schleierfahndung prinzipiell er- 
laubt, doch müssen rechtliche Grenzen 
beachtet werden. 

Geklagt hatten betroffene Autofah- 
rer. Anlass sind die umstrittenen Po- 
lizeigesetze in den Bundesländern, 
die der Polizei erlauben, Kennzeichen 
automatisiert zu kontrollieren. Dabei 
wird das Nummernschild eines vor- 
beifahrenden Autos verdeckt erfasst, 
kurzzeitig gemeinsam mit Angaben zu 
Ort, Datum, Uhrzeit und Fahrtrichtung 
gespeichert und mit Kennzeichen ab- 
geglichen, die in Fahndungsaufrufen 
enthalten sind. Ergibt der automati- 
sierte Abgleich keinen Treffer, werden 
die Daten wieder gelöscht. Die Länder 
setzen das System zu unterschiedli- 
chen Zwecken ein, zum Beispiel um 
Einbruchserien zu ermitteln oder Groß- 
veranstaltungen zu schützen. 

Dabei gibt das BVerfG seine alte 
Rechtsprechung auf, wonach kein Ein- 
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griff vorliegt, wenn bei einer Kfz-Erfas- 
sung der Abgleich zu einem Nichttreffer 
führt und die Daten sogleich gelöscht 
werden: „In solchen Kontrollen liegen 
Grundrechtseingriffe gegenüber allen 
Personen, deren Kraftfahrzeugkennzei- 
chen erfasst und abgeglichen werden, 
unabhängig davon, ob die Kontrolle zu 
einem Treffer führt.“ Für die Kennzei- 
chenkontrollen müsse es einen hinrei- 
chend gewichtigen Anlass geben, damit 
der Grundsatz der Verhältnismäßigkeit 
gewahrt wird. Dem genügen die Vor- 
schriften in Bayern nicht, da die Kon- 
trollen nicht darauf beschränkt sind, 
Rechtsgüter von erheblichem Gewicht 
zu schützen. In Bayern hat der Freistaat 
keine Gesetzeskompetenz, um die Kont- 
rollen - wie dort vorgesehen - unmittel- 
bar zum Grenzschutz zu erlauben. 

Die Regelungen in Baden-Württem- 
berg und Hessen genügen ebenfalls 
nicht in jeder Hinsicht dem Verhältnis- 
mäßigkeitsgrundsatz. In beiden Län- 
dern werden Kennzeichenkontrollen 
nicht umfassend auf den Schutz von 
Rechtsgütern von erheblichem Gewicht 
begrenzt und Kennzeichenkontrollen 
als Mittel der Schleierfahndung ohne 
eine ausreichend klare grenzbezogene 
Beschränkung erlaubt. 

Soweit Baden-Württemberg auto- 
matisierte Kennzeichenkontrollen er- 
laubt, um polizeiliche Kontrollstellen 
und Kontrollbereiche zu unterstützen, 
mit denen nach Straftätern gefahn- 
det wird, fehle es dem Land schon zur 
Einrichtung dieser Kontrollstellen an 
der Gesetzgebungskompetenz, da der 
Bund diese Kompetenz für den Bereich 
der Strafverfolgung wahrgenommen 
hat. Insofern ist die Kennzeichenkon- 
trolle auch formell verfassungswidrig. 
Aus ebenfalls formellen Gründen sind 
auch die hessischen Regelungen zum 
Kfz-Scanning an polizeilichen Kontroll- 
stellen verfassungswidrig, die zur Ver- 
hütung versammlungsrechtlicher Straf- 
taten eingerichtet sind, ebenso wie die 
Regelung zur Einrichtung dieser Kont- 
rollstellen selbst. 

Die Vorschriften zum Abgleich der 
erfassten Kennzeichen müssen gemäß 
dem BVerfG in allen drei betroffenen 
Ländern verfassungskonform ein- 
schränkend so ausgelegt werden, dass 
jeweilsnur die Fahndungsbestände zum 
Abgleich herangezogen werden dürfen, 
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die zur Abwehr der Gefahr geeignet 
sind, die Anlass der jeweiligen Kenn- 
zeichenkontrolle ist. Das Gericht hat 
die verfassungswidrigen Vorschriften 
größtenteils übergangsweise für weiter 
anwendbar erklärt, und zwar bis zum 
31.12.2019. Auch andere Bundesländer 
haben den Kennzeichenabgleich in ih- 
ren Polizeigesetzen vorgesehen. Weitere 
Klagen gegen Polizeiaufgabengesetze 
sind noch anhängig. 

Der Klägervertreter in beiden Ver- 
fahren, Rechtsanwalt Udo Kauß, erläu- 
terte: „Das Bundesverfassungsgericht 
hat anlasslosen Kontrollen eine Absa- 
ge erteilt und die Zulässigkeit solcher 
Massenkontrollen vom Vorliegen einer 
konkreten Gefahrensituation abhän- 
gig gemacht. Auch dürfen nicht mehr 
pauschal polizeiliche Dateien für den 
Abgleich mit den eine Kontrollstelle 
passierenden Fahrzeugen eingesetzt 
werden. Ein großer Sieg für Bürgerrech- 
te!“ Der bayerische Informatiker und 
Beschwerde einlegende Kläger Benja- 
min Erhart meinte: „Wenn das Bundes- 
verfassungsgericht beinahe schon re- 
gelmäßig Gesetze kippen muss, weil sie 
nicht verfassungsgemäß sind, bedeutet 
das, unsere Politiker machen ihre Arbeit 
nicht so gut, wie sie sein müsste. Statt 
Populismus wäre mehr Nachdenken an- 
gebracht. Statt nutzlosem Sicherheits- 
theater, das Geld in die Kassen einiger 
weniger IT-Firmen spült, sollte das Geld 
lieber in gute Ausbildung, Ausstattung 
und ausreichend Personal bei den Si- 
cherheitsbehörden gesteckt werden.” 

Ein Sprecher des bayerischen Innen- 
ministeriums sagte, dass möglicherwei- 
se die Anlagen an grenznahen Orten ab- 
gebaut werden müssen. Außerdem wer- 
de überprüft, welche Straftatbestände 
für die Schleierfahndung genutzt wer- 
den. Dazu gehört es, die Entscheidungs- 
grundlagen für konkrete Kontrollen zu 
dokumentieren. Grundsätzlich sehe das 
Ministerium jedoch keinen Grund, seine 
bisherige Fahndungspraxis wesentlich 
zu ändern, für die auf Daten der Inpol- 
Datenbank zugegriffen wird. 

Hessen und Baden-Württemberg nut- 
zen bisher für den Datenabgleich die 
Sachfahndungsdaten des Schengener- 
Informationssystems, womit zunächst 
nicht nach dem Zweck der Kennzei- 
chenkontrolle unterschieden wird. 
Das Gericht verlangt, dass der Daten- 


abgleich auf die Fahndungsbestände 
beschränkt wird, die für die Kontrolle 
bedeutsam sind. Die Länder müssen also 
eine andere, spezifischere Datenbasis 
für die Schleierfahndung nutzen. Die 
Innenministerien von Hessen und Ba- 
den-Württemberg hatten sich zunächst 
nicht zu dem Urteil geäußert. 

Kontrovers diskutiert wurde nach den 
Beschlüssen, inwieweit dadurch die au- 
tomatisierte Kontrolle der Einhaltung 
von Dieselfahrverboten mit Hilfe von 
Kfz-Kennzeichen-Scanning möglich 
bleibt, wie sie von Bundesverkehrsmi- 
nister Andreas Scheuer (CSU) geplant 
ist. Der baden-württembergische Lan- 
desdatenschützer Stefan Brink meinte, 
dass diese nach wie vor im Bereich des 
Möglichen sei, da die Überwachung 
räumlich begrenzt stattfindet und für 
einen grundrechtlich hoch bewerteten 
Zweck unternommen wird. Das Gericht 
hält anlasslose Kontrollen für möglich, 
wenn sie an der „besonderen Verant- 
wortung der Betroffenen für die Allge- 
meinheit” anknüpfen. Der Bürgerrecht- 
licher Patrick Breyer, einer der Kläger, 
hingegen glaubt, dass die Fahrverbots- 
Scanner-Pläne vom Tisch seien, weil sie 
nicht dem Schutz von Rechtsgütern von 
erheblichem Gewicht dienen. 

Brink bedauert es, dass die Karlsru- 
her Richter keine klaren Kriterien auf- 
gestellt haben, anhand derer sich die 
Rechtmäßigkeit eines solchen Einsatzes 
rasch klären lasse. Stattdessen führe die 
am Verfassungsgericht weit verbreitete 
„Abwägeritis” dazu, in immer feineren 
argumentativen Verästelungen Mög- 
lichkeitsräume zu eröffnen. Die Politik 
neige dann dazu, diese Räume bis auf 
das Maximale auszunutzen. Anstatt also 
einer datenschutzfreundlichen „Blauen 
Plakette” bei den Dieselfahrverboten 
den Vorzug zu geben, setze sie lieber 
auf die grundrechtsinvasivere Kennzei- 
chenerfassung. 

Die Erfassung von Kennzeichen für 
die Abrechnung der Maut auf Autobah- 
nen wird nach Ansicht der niedersächsi- 
schen Aufsichtsbehörde der Landesbe- 
auftragten für den Datenschutz Barbara 
Thiel durch die Beschlüsse des BVerfG 
nicht direkt tangiert. Auch für Blitzer- 
Anlagen darf sie noch verwendet wer- 
den. Dabei werde nämlich nur der Fahrer 
erfasst, der bei der Geschwindigkeits- 
übertretung unmittelbar in flagranti 
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erwischt wird. Anders ist das jedoch bei 
neuen Geschwindigkeitsmesssystemen, 
die unterschiedslos alle Fahrzeuge er- 
fassen, dem Section-Control-Verfahren. 
Gemäß dem Stellvertreter von Thiel, 
Christoph Lahmann, müsse dieses Ver- 
fahren nun eingestellt werden, das an 
der B6 bei Laatzen im Dezember 2018 
in Betrieb genommen wurde und bei 
dem seit Januar 2019 für Geschwin- 
digkeitsübertretungen Bußgelder er- 
hoben werden. Ändern würde sich die 
Rechtslage erst wieder, wenn das ge- 
plante neue Polizeirecht in Niedersach- 
sen in Kraft träte, das eine gesetzliche 
Grundlage für Section Control vorsieht 
(dazu siehe unten VG Hannover; Wil- 
kens, Kfz-Kennzeichen-Scanning teil- 
weise verfassungswidrig, www.heise.de 
05.02.2019; Kurzlink: https://heise. 
de/-4297821; Autokennzeichen-Ab- 
gleich zum Teil verfassungswidrig, 
www.sueddeutsche,de 05.02.2019; PE 
HU 05.02.2019, Bundesverfassungsge- 
richtsurteil zur Kfz-Kennzeichenkon- 
trolle: Ein großer Sieg für die Bürger- 
rechte!; Schulzki-Haddouti, Kfz-Kenn- 
zeichen-Scanning auf dem Prüfstand, 


www.heise.de 06.02.2019, Kurzlink: 
https://heise.de/-4299849; Wilkens, 
Section Control: Datenschutzbeauf- 


tragte fordert sofortigen Streckenradar- 
Stopp, www.heise.de 06.02.2019, Kurz- 
link: https://heise.de/-4299763). 


VG Hannover 


Probebetrieb „Section 
Control” fehlt gesetzliche 
Grundlage 


Das Verwaltungsgericht Hannover 
(VG) hat am 12.03.2019 dem Antrag 
auf Erlass einer einstweiligen Anord- 
nung sowie einer Klage stattgegeben, 
mit denen der Antragsteller und Kläger 
begehrte, dass das Land Niedersachsen 
es unterlässt, Geschwindigkeitskontrol- 
len hinsichtlich der von ihm geführten 
Fahrzeuge mittels der Anlage „Section 
Control” auf der B6 in Laatzen zwi- 
schen den Anschlussstellen Gleidingen 
und Laatzen durchzuführen (Klage: 7 
A 849/19, Eilverfahren: 7 B 850/19). 
Durch „Section Control” werden die Kfz- 
Kennzeichen aller in dem überwachten 
Abschnitt einfahrenden Fahrzeuge er- 
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fasst. Auch wenn diese beim 2,2 km ent- 
fernten Ausfahren im sog. Nichttreffer- 
fall gelöscht werden, bedarf es, so das 
VG, für deren Erfassung - sowohl im sog. 
Treffer- als auch im sog. Nichttrefferfall 
- einer gesetzlichen Ermächtigungs- 
grundlage, da in das verfassungsrecht- 
lich garantierte informationelle Selbst- 
bestimmungsrecht eingegriffen wird. 
Für einen solchen Eingriff bedarf es 
stets - auch ungeachtet der jeweiligen 
Schwere des Eingriffs - einer gesetzli- 
chen Grundlage. Dass „Section Control” 
sich noch im Probebetrieb befindet, än- 
dere hieran nichts. Das VG bezog sich 
dabei auch auf den jüngsten Beschluss 
des Bundesverfassungsgerichts vom 
18.12.2018 zur automatisierten Kraft- 
fahrzeugkennzeichenkontrolle zum 
Abgleich mit dem Fahndungsbestand 
(1 BvR 142/15 u. 1 BvR 2795/09, 1 BvR 
3187/10; .0.). 

An einer solchen gesetzlichen Grund- 
lage fehlt es hier. Dies zeigt sich nicht 
zuletzt darin, dass im Niedersächsi- 
schen Landtag ein entsprechender 
Gesetzentwurf zur Änderung des Nie- 
dersächsischen Polizeirechts (LT-Drs. 
18/850) eingebracht ist, in dem mit 
& 32 Abs. 8 NPOG-E eine Rechtsgrundla- 
ge geschaffen werden soll. Die 7. Kam- 
mer des VGließ es dahingestellt, ob eine 
solche Rechtsgrundlage in die Gesetz- 
gebungskompetenz des Landes Nieder- 
sachsen fällt oder der Bundesgesetzge- 
ber tätig werden müsste. Zum Zeitpunkt 
der Entscheidungen existierte weder 
auf Bundes- noch auf Landesgesetzese- 
bene eine Ermächtigungsgrundlage. 

Der Antragsteller und Kläger muss ei- 
nen Eingriff in seine Rechte auch nicht 
während eines Probebetriebes hinneh- 
men. Aus dem Rechtsstaatsprinzip und 
dem Gewaltenteilungsgrundsatz folge, 
dass die Exekutive nicht selbst so han- 
deln darf, als hätte der Gesetzgeber 
sie hierzu schon ermächtigt. Der Staat 
sei auch nicht zwingend auf „Section 
Control” angewiesen. Er kann die Ver- 
kehrsüberwachung bis zur Schaffung 
einer Rechtsgrundlage auch auf andere 
Weise durchführen. Gegen die Entschei- 
dungen kann das Land Niedersachsen 
Rechtsmittel einlegen (PE VG Hannover 
12.03.2019, Keine gesetzliche Grund- 
lage für Verkehrsüberwachung mittels 
„Section Control” - 7. Kammer gibt Eil- 
antrag und Klage statt). 


KG Berlin 


Google-AGB umfassend 
unzulässig 


Gemäß einem Urteil des Kammer- 
gerichts Berlin (KG) vom 21.03.2019 
enthielt die Google-Datenschutzer- 
klärung von 2012 viele rechtswidrige 
Klauseln (Az. 23 U 268/13). Geklagt 
hatte der Verbraucherzentrale Bundes- 
verband (vzbv). In den Allgemeinen Ge- 
schäftsbedingungen (AGB) hatte Google 
sich umfangreiche Rechte zur Erhebung 
und Nutzung von Kundendaten ein- 
geräumt. Beispielsweise wollte Goog- 
le personenbezogene Daten aus den 
verschiedenen Diensten miteinander 
verknüpfen oder in bestimmten Fällen 
an Dritte weitergeben. Der vzbv stellte 
fest: „Einige der untersagten Klauseln 
verwendet Google bis heute in gleicher 
oder ähnlicher Form.” 

Das Gericht sieht einen Verstoß ge- 
gen die Datenschutz-Grundverordnung 
(DSGVO) darin, dass die Datenschutzer- 
klärung den Eindruck erweckt, dass die 
beschriebene Datenverarbeitung ohne 
Zustimmung der KundInnen erlaubt sei, 
während tatsächlich für die Nutzung 
von personenbezogenen Daten die „in- 
formierte und freiwillige Einwilligung” 
der Anwendenden erforderlich ist. Es 
reiche nicht aus, dass die Verbrauche- 
rInnen die Datenschutzerklärung (oft 
ungelesen) abnicken. Heiko Dünkel, 
Rechtsreferent beim vzbv: „Es wird 
höchste Zeit, dass Google Verbraucher- 
rechte und Datenschutz endlich ernst 
nimmt und seine Bedingungen fair und 
transparent gestaltet”. 

Das KG sah Teile von Googles Daten- 
schutzerläuterungen zudem als unwirk- 
sam an, weil sie „so verschachtelt und 
redundant ausgestaltet” seien, dass die 
Nutzenden sie kaum hätten durchschau- 
en können. Insgesamt erklärte das Ge- 
richt 13 Klauseln in der Datenschutzer- 
klärung für unwirksam. Google schreibt 
darin etwa, einzelne Dienste nach ei- 
genem Ermessen einzustellen oder zu 
ändern. Das ist nach Ansicht des KG ein 
gesetzlich nicht zulässiger Änderungs- 
vorbehalt. Google dürfe die versproche- 
nen Leistungen nur dann ändern, wenn 
das für seine KundInnen auch zumutbar 
sei. Die Klausel enthieltjedoch keine sol- 
che Einschränkung. Google ist bekannt 
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dafür, Dienste rigoros einzustellen, die 
nicht mehrin die Strategie passen. 

Das Gericht gab der Klage des vzbv in 
vollem Umfang statt. In erster Instanz 
hatte bereits das Landgericht Berlin so 
entschieden. Das jetzige Urteil ist noch 
nicht rechtskräftig. Google hat laut vzbv 
eine Nichtzulassungsbeschwerde beim 
Bundesgerichtshof eingelegt (Berger, 
Urteil:  Google-Datenschutzerklärung 
verstieß gegen DSGVO, www.heise.de 
16.04.2019, Kurzlink: https://heise. 
de/-4400575). 


KG Berlin 


Apple-AGB weitgehend 
unzulässig 


Das Kammergericht Berlin (KG) hat 
mit Urteil vom 27.12.2018 das Ur- 
teil des Landgerichts Berlin (LG) vom 
30.04.2013 (15 O0 92/12, DANA 2013, 
79 ff.) weitgehend bestätigt, wonach 
Apple zentrale Datenschutzklauseln 
nicht mehr verwenden darf (Az.: 23 U 
196/13). Geklagt hatte der Verbraucher- 
zentrale Bundesverband (vzbv) gegen 
die Apple Sales International, die da- 
mals in Deutschland den App Store der 
Kalifornier betrieb. Das KG erklärte eine 
„Richtlinie” des App-Store-Betreibers 
in weiten Teilen für rechtswidrig, mit 
der sich dieser weitgehende Rechte zur 
Nutzung von Kundendaten einräumte. 
Das Unternehmen wollte demnach sogar 
„präzise Standortdaten” der Anwender 
für Werbezwecke auswerten und persön- 
liche Informationen an „strategische 
Partner” weitergeben. In der umstrit- 
tenen Erklärung auf den Apple-Seiten 
hieß es damals unter anderem: „Wenn 
Sie mit Apple oder einem mit Apple 
verbundenen Unternehmen in Kon- 
takt treten, können Sie jederzeit dazu 
aufgefordert werden, personenbezoge- 
ne Daten anzugeben. Apple und seine 
verbundenen Unternehmen können 
diese personenbezogenen Daten un- 
tereinander austauschen und sie nach 
Maßgabe dieser Datenschutzrichtlinie 
nutzen. Sie können solche Daten auch 
mit anderen Informationen verbinden, 
um unsere Produkte, Dienstleistungen, 
Inhalte und Werbung anzubieten oder 
zu verbessern.” 

Der Konzern nahm es sich auch her- 
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aus, personenbezogene Informationen 
zur Werbung oder für „interne Zwecke” 
zu verwenden. Sie sollten auch dazu 
dienen, um Produkte, Dienste oder In- 
halte zu entwickeln oder zu verbessern. 
Das LG hatte diese Klauseln für unzu- 
lässig erklärt, da solche „globalen Ein- 
willigungen“ untersagt seien. Es bleibe 
unklar, welche Daten in welchem Um- 
fang genutzt werden könnten. Das KG 
prüfte die Passagen angesichts der auch 
auf die Zukunft ausgerichteten Unter- 
lassungsklage nun auch anhand der 
seit Mai 2018 geltenden Datenschutz- 
Grundverordnung (DSGVO). 

Der Senat hält es für eindeutig, dass 
die „bloß einseitige Verlautbarung be- 
stimmter Datenverarbeitungspraktiken” 
keine Einwilligung des Betroffenen dar- 
stelle. Die Klauseln vermittelten den 
VerbraucherInnen den unzutreffenden 
Eindruck, dass Apple die thematisierten 
personenbezogenen Daten verarbeiten 
dürfe, ohne dass es auf ein Opt-in der 
Nutzenden ankomme. Auch eine reine 
Unterrichtung der Anwendenden macht 
die ausgeübten Praktiken nicht recht- 
mäßig und nähre Fehlvorstellungen 
rund um die Frage der Einwilligung. Die 
Gefahr, dass der Konzern sein Handeln 
fortsetze oder wiederhole, bezeichnet 
die Berufungsinstanz als akut: Die Klau- 
seln würden nämlich „jetzt von einer an- 
deren Gesellschaft der Apple-Unterneh- 
mensgruppe“ eingesetzt. 

Aus dem Schneider wäre der Konzern 
erst, „wenn es zu einer endgültigen Ge- 
schäftsaufgabe kommt“. Derzeit sei aber 
nicht auszuschließen, dass die Beklag- 
te im Zuge einer erneuten Umstruktu- 
rierung auch wieder den Online-Store 
übernehme und wie die „jetzige Betrei- 
berin die Datenschutzrichtlinie in ihrer 
früheren Fassung weiterverwendet“. 
Der Store wird mittlerweile von einer 
anderen Apple-Tochter betrieben. 

Durchgehen ließ das Kammergericht 
im Gegensatz zur Vorinstanz allein eine 
Klausel, wonach die Kalifornier Kon- 
taktdaten Dritter wie Name, Adresse, 
E-Mail oder Telefonnummern erheben 
dürfen, wenn Nutzende Inhalte etwa 
mit der Familie oder Freunden teilen 
oder Geschenkgutscheine des Unter- 
nehmens verwenden. In diesen Fällen 
seien die Informationen tatsächlich zur 
Vertragserfüllung erforderlich. Die Re- 
vision hat das Berufungsgericht nicht 


zugelassen und das Urteil für vorläufig 
vollstreckbar erklärt. Laut dem vzbv ist 
der Beschluss aber noch nicht rechts- 
kräftig, weil sich Apple mit einer Be- 
schwerde dagegen zur Wehr setzt. 

Apple gibt sich gern als Vorreiter 
beim Datenschutz aus. Das Urteil und 
der Umgang Apples damit lassen hier- 
an jedoch zweifeln. Der Rechtsreferent 
des vzbv Heiko Dünkel begrüßte die 
Entscheidung: „Das Kammergericht hat 
klargestellt, dass auch ältere Klauseln 
zur Nutzung personenbezogener Daten 
die Anforderungen der seit Mai 2018 
geltenden DSGVO erfüllen müssen.” Er 
bedauerte, dass sich einige der Formu- 
lierungen so oderähnlich immer noch in 
den aktuellen Datenschutzbestimmun- 
gen des Shops fänden (Krempl, Apple- 
Datenschutzrichtlinie ist größtenteils 
rechtswidrig, www.heise.de 22.02.2019; 
Kurzlink: https://heise.de/-4316486). 


LG Düsseldorf 


Kein strafrechtliches 
Verwertungsverbot von 
unzulässigen Bodycam- 
Aufnahmen 


Das Landgericht (LG) Düsseldorf hat 
am 15.02.2019 entschieden, dass die 
Bodycam-Aufnahmen von Polizisten als 
Beweismittel in Prozessen herangezo- 
gen werden dürfen, auch wenn die Ka- 
mera gar nicht hätte aufnehmen sollen 
(1 Ks 19/18). Die Voraussetzungen für 
den Einsatz von Bodycams waren erst 
zwei Jahre zuvor in Nordrhein-Westfa- 
len gesetzlich geregelt worden. Die neu- 
en Körperkameras sollen dem Schutz 
der PolizistInnen dienen. 

Im konkreten Fall ist eine 60-Jährige 
wegen Tötung ihres Ehemanns ange- 
klagt. Eine Polizistin, die nach Eingang 
des Notrufs mit einem Kollegen zuerst 
die Wohnung der Eheleute betreten hat- 
te, hatte dabei die Kamera eingeschal- 
tet. Der Verteidiger der Angeklagten 
hatte argumentiert, die Beamtin hätte 
die Aufnahmen stoppen müssen, als sie 
am Ort des Geschehens festgestellt hat- 
te, dass keine Gefahr bestand. Das sah 
auch das Gericht so. Es sei aber „lebens- 
nah“, dass die Beamtin in der Situation 
vergessen habe, die Kamera abzustellen. 
Ein Beweisverwertungsverbot ergebe 
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sich daraus dennoch nicht. Die Video- 
aufnahmen wurden nach Bekanntgabe 
des Beschlusses im Prozess gezeigt. 

Notfalls werde der Bundesgerichtshof 
in der Revision über die Zulässigkeit der 
Aufnahmen als Beweismittel entschei- 
den müssen, sagte Verteidiger Nicolai 
Mameghani auf Anfrage. Er strebe ei- 
nen Freispruch für seine Mandantin an. 
Mameghani hatte für die Angeklagte 
erklärt, dass es sich um einen Unfall ge- 
handelt habe. Der Ehemann habe seiner 
Frau in der Küche auf die Schulter ge- 
schlagen. Er sei dabei selbst in Socken 
auf glattem Boden ausgerutscht und auf 
sie gestürzt. Weil sie gerade Brot schnitt, 
habe die Frau ein Messer in der Hand ge- 
halten. Beide seien zu Boden gefallen. 
Das Messer habe sich in den Bauch des 
Ehemanns gebohrt. Er war verblutet. 

Das Geschehene hatte sich am 
20.05.2018 in Düsseldorf in der Woh- 
nung des Ehepaars abgespielt. Das Paar 
soll zuvor einen Streit gehabt haben, 
weil er länger in einer Kneipe bleiben 
wollte und sie auf den Heimweg ge- 
drängt habe. Die Polizistin soll die Ka- 
mera etwa eine halbe Stunde lang ein- 
geschaltet gehabt haben. Das Verhalten 
der Angeklagten, die dabei gefilmt wor- 
den war, soll diese aus Sicht der Staats- 
anwaltschaft belasten (Gericht erklärt 
Bodycam-Aufnahmen für zulässiges Be- 
weismittel, www.heise.de 16.02.2019, 
Kurzlink: https://heise.de/-4311087). 


OLG Wien 


Anforderungen an Wahr- 
heitsbeweis bei Internet- 
Gegenwehr 


Das Oberlandesgericht (OLG) Wien 
hob am 12.03.2019 ein Urteil des Land- 
gerichts für Strafsachen (LG) Wien vom 
Oktober 2018 auf, in dem die 33-jährige 
Parlamentsabgeordnete (2013-2017) 
und Grünen-Politikerin Sigi Maurer zu 
einer Geldstrafe von 7.000 € plus Ver- 
fahrenskosten verurteilt worden ist, 
weil sie einen Screenshot einer erhalte- 
nen privaten Facebook-Nachricht ver- 
öffentlicht hatte einschließlich Name 
und Geschäftsadresse des Absenders. 
Die Nachricht hatte folgenden Inhalt, 
nachdem sie Ende Mai 2018 in Wien an 
einem Getränkeladen vorbeigegangen 
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war: „Hallo Du bist heute bei mir beim 
Geschäft vorbei gegangen und hast auf 
meinen Schwanz geguckt als wolltest 
du Ihn essen.” In einer weiteren Nach- 
richt ließ sich der Verfasser über Mau- 
rers Figur aus und beleidigte sie als 
„kleine dreckige Bitch !!!” Die obszönen 
Botschaften stammten vom Account 
des Besitzers eines Craftbeershops. Sie 
kommentierte: „Ich dachte mir, in einer 
Stadt voller Hipster schadet es ja nicht, 
darüber zu informieren, bei welchem 
frauenverachtenden Arschloch man po- 
tenziell sein (craft) Bier kauft”. Wer wis- 
sen wolle, warum dieser Mann Frauen 
belästige, „kann ja mal beiihm nachfra- 
gen.” Der Geschäftsbesitzer wurde nach 
eigenen Angaben zufolge daraufhin be- 
schimpft und mehrfach bedroht. 

Maurer begründete ihr Vorgehen da- 
mit, dass derartige Zuschriften nach 
österreichischem Recht nicht strafbar 
seien. Beleidigungen setzen demnach 
Öffentlichkeit voraus. Sie habe sich nicht 
anders zu helfen gewusst, als die Bot- 
schaften und den Absender öffentlich 
zu machen. Der Besitzer des Ladens ver- 
klagte Maurer. Er habe die Nachrichten 
gar nicht geschrieben, der Computer ste- 
he in seinem Geschäftsraum und sei auch 
für Kunden zugänglich. Er wisse nicht, 
wer Maurer angeschrieben habe. Er sei 
es jedenfalls nicht gewesen. Der Mann 
machte geltend, er fühle sich zu Unrecht 
an den Pranger gestellt und habe massi- 
ve Beschimpfungen, Bedrohungen und 
wirtschaftlichen Schaden erlitten. Das 
LG folgte in weiten Teilen der Argumen- 
tation des Klägers und verurteilte Maurer 
wegen übler Nachrede zu einer Geldstrafe 
in Höhe von 3.000 € sowie zu einer Zah- 
lung an den Kläger „wegen erlittener Un- 
bill” in Höhe von 4.000 €. 

Im ersten Prozess hatte das LG kons- 
tatiert, Maurer habe nicht nachweisen 
können, dass die beleidigenden Nach- 
richten tatsächlich von dem Ladenbe- 
sitzer verfasst worden seien. Der Richter 
erklärte: „Ich bin überzeugt, dass der 
Kläger lügt.” Es sei aber nicht zweifels- 
frei festzustellen gewesen, von wem die 
Nachricht stammte. Maurer hätte sich 
im Sinne der „journalistischen Sorg- 
faltspflicht“ vor der Veröffentlichung der 
Nachrichten vergewissern müssen, dass 
der Text tatsächlich von der Person ver- 
sendet worden ist, auf deren Namen das 
Profil lief. Maurer erfuhr nach dem Urteil 


aus der Bevölkerung breite Unterstüt- 
zung. Ihre Spendenkampagne für einen 
„Rechtshilfefonds gegen Hass im Netz” 
sammelte binnen 38 Stunden 100.000 €. 
Der Bierhändler forderte daraufhin eine 
höhere Schadenssumme, da siesich nach 
der Spendenaktion in anderer finanziel- 
ler Lage befände als zuvor. 

Das Oberlandesgericht urteilte nun, es 
sei nicht ausreichend gewürdigt worden, 
„dass die Nachrichten immerhin vom 
Computer und vom Facebook-Account 
des Privatanklägers versendet wurden”. 
Bei der „Beurteilung des Wahrheitsbe- 
weises” sei „eine gewisse Lebensnähe 
zu beachten“ Dies sei im ersten Prozess 
nicht geschehen: „Das Erstgericht hat 
die Latte für den Wahrheitsbeweis gera- 
dezu unerreichbar hoch angesetzt.” Das 
bedeute, dass schon die bloße Behaup- 
tung ausreiche, auch andere Personen 
hätten Zugang zum Computer, um den 
Beweis unmöglich zu machen, „dass 
doch der Inhaber des Geräts die Mittei- 
lungen versendet hat”. 

Der Kläger habe aber nicht schlüssig 
darstellen können, dass konkret eine 
andere Person die Nachricht geschrie- 
ben und versendet habe. Das Szenario 
eines anderen Verfassers sei „im konkre- 
ten Fall und wenn man die übrigen Be- 
weisergebnisse berücksichtigt, eigent- 
lich nicht vorstellbar”. Der „unbekannte 
Verfasser” hätte wenig Zeit gehabt, dies 
unbemerkt zu tun; und er hätte gleich- 
zeitig beobachten müssen, ob der La- 
denbesitzer während des Verfassens 
der Nachricht ins Lokal zurückkommt. 
Im ersten Prozess hatten Zeugen aus- 
gesagt, sie hätten im Ladenlokal nie- 
manden gesehen, der zum Computer ge- 
gangen wäre. Der Prozess muss in erster 
Instanz wiederholt werden. Die Richter 
widersprachen der Einschätzung, Mau- 
rer sei der Wahrheitsbeweis nicht gelun- 
gen, dass wirklich der Bierladenbesitzer 
die Nachrichten versendet habe. 

Maurer erklärte nach dem OLG-Urteil: 
„ch fühle mich in meiner Wahrneh- 
mung bestätigt, dass die Urteilsbegrün- 
dung absurd war”. Sie hofft auf einen 
Freispruch in der Wiederholung und auf 
eine Gesetzesänderung: „Noch habe ich 
nicht gewonnen“ (Kazim, Üble Nachre- 
de Gericht hebt Urteil gegen Ex-Politi- 
kerin Sigi Maurer auf, www.spiegel.de 
12.03.2019; Al-Serori, Flaschenpost, SZ 
13.03.2019 8). 
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Gola, Peter/Heckmann, Dirk (Hrsg.) 
Bundesdatenschutzgesetz - 
Kommentar 

13. Aufl. 2019, C.H.Beck, 

ISBN 978-3-406-72878-5, 792 5., 89,00 €. 


(tw) Es ist nur auf den ersten Blick 
verwirrend, dass in Zeiten der DSGVO 
plötzlich eine Neuauflage eines Kom- 
mentars zum BDSG erscheint. Der Gola/ 
Schomerus gehörte ja bis zur 12. Aufla- 
ge zu den Standardkommentaren zum 
alten Bundesdatenschutzgesetz (BDSG 
a.F.), das seit dem 25.05.2018 nicht 
mehr in Kraft ist. Peter Gola machte aus 
dieser Not eine Tugend und zählt nun 
den völlig neuen Kommentar zum völlig 
neuen BDSG und mit neuer Mitheraus- 
geberschaft auflagenmäßig einfach wei- 
ter. Der Kommentar beschränkt sich auf 
das neue BDSG, das nichts anderes tut, 
als die europäische DSGVO zu ergänzen, 
auszufüllen und teilweise aufzuheben. 
Für eine umfassende Kommentierung 
des allgemeinen Datenschutzrechts 
muss also zusätzlich auf ein Werk zur 
DSGVO zurückgegriffen werden, wovon 
es inzwischen ja viele gibt - auch ein 
von Gola herausgegebenes iin 2. Auflage. 

Wurde der alte Gola/Schomerus mit 
jeder neuen Auflage einfach ergänzt, so 
musste nun mit der Kommentierung von 
vorne begonnen werden, was bei den 
stattlichen 85 Paragraphen nicht mehr 
(wie die 12. Auflage) von drei Bearbei- 
tenden bewerkstelligt werden konnte: 
19 BearbeiterInnen weist das Werk auf. 
Und diese kümmern sich nicht nur um 
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die 88 1-44, also die Umsetzung der 
DSGVO, sondern auch um die darauf 
folgenden BDSG-Regelungen, die sich 
der bundesdeutschen Umsetzung der 
JI-Datenschutz-Richtlinie widmen, also 
der Richtlinie (EU) 2016/680 (JI-DSRl). 
Diese Regeln, also die 88 45-85, sind 
von höchster Relevanz, alldieweil es um 
die Verarbeitung - vulgo - durch Poli- 
zei und Justiz, also für Zwecke der Ge- 
fahrenabwehr und der Strafverfolgung 
geht. Diese Regelungen sind weniger im 
öffentlichen Fokus, einmal als kleiner 
Bruder zur DSGVO, dann aber auch we- 
gen ihrer Lückenbüserfunktion ergän- 
zend z. B. zum Polizeirecht des Bundes. 
Und insofern finden diese Regelungen 
regelmäßig auch ihre Entsprechung in 
Landesregelungen - auch dort gemäß 
dem Bundesvorbild zumeist, aber nicht 
überall - in den Landesdatenschutzge- 
setzen. Die Antwort auf die Frage, wel- 
ches Datenschutzrecht gilt, wird noch 
mehr als bisher zur Wissenschaft, wes- 
halb wir auch Kommentierungen brau- 
chen. Die Landesreferenzen werden im 
Gola/Heckmann jeweils aufgeführt. 
Dass die in dem Werk gelieferten Ant- 
worten auf Auslegungsfragen die letzte 
Weisheit sind, behaupten die AutorIn- 
nen selbst nicht. Zu offen sind viele 
Auslegungsmöglichkeiten, zu wenig 
Rechtsprechung liegt bisher vor. Die- 
ser Kommentar gibt erste Antworten, 
manchmal nur Hinweise. Diese Antwor- 
ten tragen die Handschriften der je- 
weiligen AutorInnen, die sich teilweise 
stark unterscheiden. Aber fast durch- 
gängig kann festgestellt werden, dass 
eine gediegene Literaturauswertung 
erfolgt ist. Man kann aber - wie bei den 
meisten neueren Datenschutzkommen- 
taren - keine einheitliche Linie feststel- 
len: weder besonders betroffenen- noch 
besonders verarbeitungsfreundlich. Das 
Werk ist dem Erklären der Regeln und 
deren Auslegung gewidmet, aber nur 
eingeschränkt einer kritischen Durch- 
dringung. Die Verfassungs- und Grund- 
rechtsbezüge gehen dabei ebenso unter 
wie ein allzu kritisches Messen des BDSG 
an seinen europäischen Vorgaben, der 


Buchbesprechungen 


DSGVO und der JI-DSRl. Zwar wird er- 
wähnt, dass manche Regelungen kriti- 
siert wurden und werden - mit welchen 
Argumenten und mit welcher Berech- 
tigung wäre aber auch erwähnenswert 
gewesen. Eine Vertiefung von eklatant 
verfassungs- und europarechtswidrigen 
Regeln wie die übermäßige Beschrän- 
kung der Betroffenenrechte oder der 
Kontrollausschluss bei Berufsgeheim- 
nissen sollte spätestens in der 14. Auf- 
lage zu finden sein. So bleibt der Gola/ 
Heckmann ein Anwendungskommentar 
mit vielen Hinweisen, Quellen und Er- 
läuterungen. Er könnte insofern wieder 
zum Standardwerk werden. Doch allein 
darauf verlassen sollten sich grund- 
rechtskritischa DatenschützerInnen 
nicht. 


Carsten Dochow 

Grundlagen und normativer Rahmen 
der Telematik im Gesundheitswesen 
Zugleich eine Betrachtung des Systems 
der Schutzebenen des Gesundheitsdaten- 
und Patientengeheimnisschutzrechts 
Nomos Baden-Baden, 

ISBN 978-3-8487-4268-4, 1520 S., 189 €. 


(tw) Die wissenschaftliche Bearbei- 
tung des Gesundheitsdatenschutzes 
ließ lange Zeit viele Wünsche offen. Eine 
erste umfassende Begutachtung legten 
vor wenigen Jahren Kingreen/Kühling 
vor (DANA 2015, 106 f.). Diese kamen 
schon zu dem Ergebnis, dass das Re- 
gelungsregime in diesem Bereich eher 
chaotisch ist und aufgeräumt gehört. 
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Dies ist letztlich auch das Ergebnis der 
zweiten umfassenden Behandlung des 
Themas durch Dochow. Seine opulente 
Dissertation ist die bisher ausführlichs- 
te und detaillierteste Untersuchung des 
Gesundheitsdatenschutzes. 

Zwar zielt Dochow letztlich auf die 
Gesundheitstelematik ab, also den di- 
gitalen Austausch von Gesundheitsda- 
ten im Behandlungskontext, doch ist 
sein Werk umfassender angelegt und 
liefert eine Rundumdarstellung des 
Datenschutzes, dann des Gesundheits- 
datenschutzes mit Standes- und Straf- 
recht, um dann ins Detail der 88 291a 
SGB V einzusteigen mit der elektroni- 
schen Gesundheitskarte und den sog. 
eHealth-Anwendungen. Das Los von 
Promotionen zum Datenschutz während 
der Entstehungsphase der DSGVO ist, 
dass der Doktorand an lebenden Körper 
operieren musste, also an einer sich än- 
dernden rechtlichen Landschaft. Dies 
gelingt Dochow, der zwar noch von der 
Anwendbarkeit des alten BDSG ausgeht, 
aber auch dessen völlige Überarbeitung 
2017 sowie die DSGVO im Blick hat wie 
auch die grundlegende Ausweitung der 
Berufsgeheimnisses auf „Mitwirkende“ 
in 8 203 Abs. 3, 4 StGB. 

Dochow kommentiert sowohl den 
bisherigen Rechtszustand als auch die 
Änderungen meinungsstark und kri- 
tisch. So sieht er im Standesrecht kei- 
ne Befugnisgrundlagen für Eingriffe in 
Patientenrechte. Zu Recht kritisiert er 
die Uferlosigkeit der Öffnung des $ 203 
StGB und macht konstruktive Vorschlä- 
ge für eine Einhegung. Er plädiert für 
ein einheitliches Gesundheitsdaten- 
schutzrecht oder zumindest für ein Ge- 
sundheitstelematikgesetz, erkennt aber 
realistisch, dass dies angesichts der po- 
litischen Debatte wohl im Bereich des 
Wünschenswerten bleiben wird. 

Das Buch ist eine wahre Fundgrube 
in Bezug auf das umfangreiche, aber 
völlig unübersichtliche Schrifttum zum 
Thema. Sein Literaturverzeichnis ist 
wohl das vollständigste, das mir zum 
Thema bekannt ist. Es ist auch eine 
Fundgrube für Ideen und Erwägungen, 
die er nicht nur aus dem Schrifttum 
zitiert, sondern oft selbständig entwi- 
ckelt. Das Ganze ist in einer gefälligen 
Sprache formuliert, die einem das Ver- 
ständnis der sperrigen Materie leichter 
macht. 
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Das Buch hätte etwas schlanker wer- 
den können, wenn auf die Grundlagen 
des Datenschutzes kürzer eingegangen 
worden wäre, die nun schon an vielen 
Stellen nachgelesen werden können. 
Dadurch, dass der Autor aber auch den 
internationalen Rechtsrahmen mitbe- 
handelt, sind selbst die allgemeinen 
Ausführungen interessant. Der Haupt- 
wert liegt aber in der dogmatischen Auf- 
bereitung des Gesundheitsdatenschutz- 
rechts mit seiner telematischen Spezifik 
- ein Thema, das uns noch Jahrzehnte 
beschäftigen wird. Durch die gründliche 
Aufbereitung liegt hier ein Fundament, 
auf das es aufzubauen gilt. Dafür ist/ 
wäre die Politik gefordert. Diese wird 
aber sicher keine 1.300 Seiten studie- 
ren. Deshalb sind Übersetzungsleistun- 
gen wichtig, wozu der Autor bei seiner 
jetzigen Beschäftigung in der Bundes- 
ärztekammer die Gelegenheit hat. 


Buchner, Benedikt (Hrsq.) 
Datenschutz im Gesundheitswesen 
AOK-Verlag Remagen, 2. Aufl. 2019 
ISBN 978-3-553-43110-1, 384 S., 89,90 € 


(tw) Die knapp ein Jahr alte erste Auf- 
lage ist offenbar vergriffen (vgl. DANA 
2/2018, 122), weshalb der Verlag schon 
eine neue Auflage auf den Markt wirft 
- diesmal ohne „Der NEUE” im Titel. 
Dass dies nötig bzw. möglich ist, liegt 
anscheinend an dem starken Bedarf: 
Eine aktuelle Einführung in den nicht 
unkomplizierten Datenschutz im Ge- 
sundheitsbereich stößt bei PraktikerIn- 
nen weiterhin aufeine große Nachfrage. 
Grundlage auch der zweiten gebunde- 
nen Auflage ist die weitergeführte Lose- 
blattausgabe (DANA 3/2017, 181), die 
in der Struktur beibehalten wird, aber 


in Bezug auf Gesetzgebung auf Bundes- 
und Landesebene und Literatur und ein 
wenig Rechtsprechung aktualisiert wur- 
de. Wer die erste Auflage hat, benötigt 
also nicht zwingend die zweite. 

Zugleich wird das Werk weiter kon- 
solidiert: Die Autoren Sebastian Ertel, 
Dennis-Kenji Kipker, Lutz-Udo Pampel 
und Sven Venzke-Caprarese sind al- 
lesamt Praktiker, die gemeinsam mit 
den Herausgebern die Grundlagen des 
Datenschutzes insbesondere aus dem 
Blickwinkel eines Datenschutzbeauf- 
tragten vermitteln und dabei Tipps 
geben für die Organisation von dessen 
Arbeit mit einer spezifischen Schwer- 
punktsetzung auf den Datenschutz im 
Krankenhaus. Dadurch, dass die The- 
men Internetpräsenz und IT-Sicherheit 
behandelt werden, werden auch im Ge- 
sundheitsbereich auftretende, nicht ge- 
sundheitsspezifische Fragen behandelt, 
dies aber nicht umfassend: So fehlt z. B. 
der Beschäftigtendatenschutz fast voll- 
ständig. Es genügt also nicht, allein auf 
dieses Werk zu vertrauen, zumal auch 
die weiterführenden Hinweise eher rar 
sind. Geeignet ist es dagegen gut für 
Schulungszwecke und als Einführung 
sowie als erste Orientierung. 


Ex 


CHBECK 


CHBECK 


Däubler, Wolfgang 

SÜG Sicherheitsüberprüfungsgesetz 
Kommentar 

C.H.Beck München, 2019, 

ISBN 978-406-72851-8, 303 5.,79 € 


(tw) In unsicheren Zeit, in denen wir 
leben, ist Arbeitnehmerdatenschutz 
oft eine Frage der Abwägung mit Si- 
cherheitsinteressen. Zum Schutz vor 
Sabotage und Spionage, aber auch ge- 
nerell zur Gewährleistung der Zuver- 
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lässigkeit in Sachen Sicherheit gibt es 
Sicherheitsüberprüfungen, bei denen 
die Beschäftigten oder Bewerbenden 
auf ihre sicherheitspolitische Geschich- 
te hin durchleuchtet werden. Bei die- 
ser Durchleuchtung spielen neben den 
jeweiligen öffentlichen und privaten 
Arbeitgebern vor allem Sicherheitsbe- 
hörden und insbesondere auch Geheim- 
dienste mit ihren oft nur vage fundier- 
ten Erkenntnissen eine zentrale Rolle. 

Da diese Durchleuchtung eine hoch- 
sensible personenbezogene Datenverar- 
beitung ist, bei der für die Betroffenen 
teilweise existenzielle Entscheidungen 
getroffen werden, ist das Thema aus 
Datenschutzsicht von hoher Relevanz. 
Dies gilt auch, weil Aspekte des Persön- 
lichkeitsschutzes sowohl in der Praxis 
als auch von Gerichten eher defensiv 
behandelt werden gemäß dem Motto 
„Sicherheit first“. 


WERDEN SOLL? 
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GLAUBST DU DER ANKÜNDIGUNG 

VON MARK ZUCKERBERG, DASS BEI 

FACEBOOK JETZT ENDLICH DER 
DATENSCHUTZ GESTÄRKT 


Die Gesetze zur Sicherheitsüberprü- 
fung sehen grundsätzlich einen Aus- 
gleich der Interessen vor, so wie dies 
auch verfassungsrechtlich gefordert 
wird. Esist also wichtig, bei der Anwen- 
dung der Gesetze sowohl die berechtig- 
ten Sicherheitsbelange als auch die des 
Datenschutzes zur Geltung zu bringen. 
Hierzu liefert Wolfgang Däubler, der 
sich als Arbeitsrechtler wie auch als 
Datenschützer schon seit Jahren ei- 
nen Namen macht, eine ausführliche 
und ins Detail gehende Anleitung. Im 
Vordergrund steht die Kommentie- 
rung des Sicherheitsüberprüfungsge- 
setzes (SÜG) des Bundes, doch sind 
die Ausführungen auf die Länder-SÜG 
übertragbar. Kursorisch werden die 
SÜG von Bayern, Baden-Württemberg, 
Hessen, Niedersachsen und Nordrhein- 
Westfalen mitbehandelt. Dargestellt 
werden auch die Regelungen aus dem 


Cartoon 


Atom- und dem Luftverkehrsrecht so- 
wie sonstiges Gesetzesrecht, etwa das 
BDSG, das mit zur Anwendung kommt. 
Auf untergesetzliche Normen, denen 
in der Praxis eine hohe Relevanz zu- 
kommt, wird mit Internetfundstellen 
verwiesen. 

Däubler erschließt mit seinem Kom- 
mentar eine Materie, zu der es wenig 
Literatur gibt. Er liefert eine aktuelle 
Momentaufnahme, gibt einen Überblick 
und erschließt das, was hierzu verfasst 
wurde. Dabei nimmt er eine kritische 
bürgerrechtliche Haltung ein und betet 
nicht einfach das nach, was von Regie- 
rungen vorgebetet wird. Für Anwälte, 
Arbeitsgerichte, Personalabteilungen 
und Sicherheitsbeauftragte, Betriebs- 
rate sowie Beschäftigte in einem sicher- 
heitsüberprüften Bereich ist das Werk 
eine hilfreiche Unterstützung, um dem 
Datenschutz Geltung zu schaffen. 


ICH ZWEIFLE DARAN. DER FACEBOOK-CHEF 
IST SÜCHTIG - NACH DATEN. WÄRE ER ALKO- 
HOLIKER, WÜRDE ER WOHL ALKOHOLISMUS 
MIT SCHNAPS BEKÄMPFEN UNTER ZUHILFE- 
NAHME EINER BESONDERS DICKWANDIGEN 
FLASCHE ZUM SCHUTZ DES INHALTS. 
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So vermeiden 
Terroristen 
Fingerabdrücke: 


Die EU hat am 04.04.2019 beschlossen, die Daten von Fingerabdrücken 
für alle neu auszustellenden Personalausweise verbindlich 
vorzuschreiben. 


Die Aufnahme von Fingerabdrücken im Personalausweis war in der 
Bundesrepublik Deutschland bisher freiwillig. 


Einen Zwang dazu gab es schon mal zur Zeit des Nationalsozialismus 
durch die Verordnung über Kennkarten vom 22. Juli 1938 (RGBl. | S. 913) 
als „allgemeiner polizeilicher Inlandausweis”“. 


